Les utilisateurs de Java 6 s'exposent à un exploit zero day
Les experts recommandent de migrer vers Java 7

Le , par Stéphane le calme

4PARTAGES

De nombreux experts en sécurité s’accordent à dire que les entreprises devraient migrer vers Java 7. En effet, Timo Hirvonen, analyste senior chez F-Secure, a reporté que le code d’un exploit d’une vulnérabilité précédemment corrigée a été introduit dans le kit de l’exploit Neutrino, le trojan bancaire dont l’architecture rappelle celle de Zeus. « Un hacker peut exécuter du code sur le système et l’infecter d’un malware. Vous pourriez obtenir un lien dans vos spams qui vous conduirait au kit Neutrino ou vous ferait visiter des sites infectés » confie-t-il.

La vulnérabilité CVE-2013-2463, a été corrigée en juin dernier lorsqu’Oracle a publié son plus récent Critical Patch Update pour Java 7 Update 25. Le CVE révèle la présence de la vulnérabilité dans les versions antérieures à Java SE 6 Update 45 qui permettrait aux hackers d’affecter la confidentialité, l’intégrité et la disponibilité via des vecteurs inconnus liés à 2D.

Pour Adam Gowdiak de Security Explorations, « la faille exploitée est assez sérieuse puisqu’une corruption de la mémoire peut généralement entraîner une compromission complète de la sécurité Java. ». Il rejoint la cohorte des experts qui encouragent la migration vers Java 7.

Wolfgang Kandek, le responsable technologique chez la firme de sécurité Qualys, affirme quant à lui que « dans son essence, il s’agit d’une vulnérabilité zéro day implicite mais dont nous n’avons pas le correctif sous la main. Nous observons que Java 6 est encore installé à des taux très élevés comptant pour un peu plus de la moitié des utilisateurs Java, ce qui veut dire que de nombreuses organisations sont vulnérables. Les entreprises devraient migrer vers Java 7 aussi vite que possible. »

Rappelons qu’Oracle a suspendu les mises à jour gratuites sur Java 6 ; ceux qui voudraient installer la version la plus récente Java 6 Update 51 vont donc devoir mettre la main à la poche.

Sources : blog Qualys, Oracle, CVE

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-le nous !

Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web