
Les chercheurs de la firme de sécurité Security Explorations avaient déclaré avoir implémenté un code illustrant l’impact de la mise à jour en question et l’avaient testé sous les environnements Java SE Update 97, Java SE 8 Update 74, et Java SE 9 Early Access Build 108. Sous les trois environnements, des failles de sécurité ont été mises en évidence. La mise à jour de sécurité peut être facilement contournée par une procédure décrite par la firme de sécurité. Oracle n’avait pas mesuré à sa juste valeur, la gravité de la vulnérabilité. En effet, Oracle affirmait que la faille pouvait être exploitée seulement via des applications Java Web Start et des applets Java. Or, il s’avère qu’elle peut l’être aussi sur des environnements serveur tels que Google App Engine pour Java, d’après Security Explorations.
La société de sécurité polonaise a, conformément à sa nouvelle politique, averti le public de la découverte d’une faille dans la mise à jour de 2013, sans préavis adressé à Oracle. En effet, Adam Gowdiak, PDG de Security Explorations, affirme que sa société ne « tolérera plus les failles dans des mises à jour de sécurité » et va en alerter le public immédiatement après les avoir découvertes, si ces failles concernent des vulnérabilités qui ont déjà été notifiées à l’entreprise concernée.
Source : seclists.org
Et vous ?

Voir aussi

