Java 7 : une faille critique dans le correctif de la faille 0-day
mar, 04/09/2012 - 11:07
La crédibilité d'Oracle est en train de souffrir dans le monde de Java. Le géant des bases de données a négligé pendant 4 mois une vulnérabilité critique. Cette vulnérabilité qui lui a été signalée en avril dernier n'a pas été corrigée dans la mise à jour de Java 7 en juillet dernier.
Ce n'est qu'avec l'apparition d'exploits de cette faille et devant le tollé des utilisateurs du langage, qu'Oracle a finalement bougé et publié un correctif hors cycle.
Seulement voilà, le correctif est lui aussi vulnérable. Une faille y a été détectée par la société de sécurité Security Explorations, la même société qui avait signalé la faille précédente. Cette nouvelle vulnérabilité est aussi grave que la précédente dans le sens où elle permet d'outrepasser la machine virtuelle Java pour exécuter du code arbitraire dans l'OS sous-jacent. Elle est moins grave que la précédente dans le sens où il n'existe pas, pour l'instant, d'exploit de cette vulnérabilité.
Security Explorations ne donnera pas d'informations techniques relatives à cette faille tant que celle-ci ne sera pas corrigée, mais la société a fourni une preuve de concept à Oracle qui a déclaré étudier le problème.
En attendant, selon Adam Gowdiak, le CEO de Security Explorations, Java 6 est beaucoup plus sûr que Java 7. "Etonnamment, Java 7 a été beaucoup plus facile à casser. Avec Java 6, nous n'avons pas réussi à créer un exploit permettant de contourner totalement la sandbox, excepté pour ce qui concerne Quicktime pour Java d'Apple" a-t-il expliqué.