Un nouveau jour, une nouvelle vulnérabilité se trouve à Java. Mais contrairement au problème signalé le mois dernier, le nouveau semble un peu plus grave. Selon la société qui l’a découvert, appelée Security Explorations, la faille affecte tous les navigateurs actuels avec le plugin Java dans les versions 5, 6 et 7. Ils affirment que le milliard d’utilisateurs du plugin sont tous vulnérables.
Plus précisément, la société cite que Java SE 5 Update 22, Java SE 6 Update 35, et Java SE 7 Update 7 (qui sont les plus récentes) contiennent la vulnérabilité. La faille permet de contourner une restriction de sécurité de la machine virtuelle Java, le fameux “bac à sable”, qui ouvre la possibilité d’exécution de codes malveillants sur l’ordinateur.
Les tests ont été effectués avec Windows 7 32 bits et les dernières versions (et stables) des navigateurs Firefox, Chrome, Opera, Internet Explorer et Safari, et toutes les vulnérabilités étaient présentes. Cela ne signifie pas pour autant que les autres systèmes ne sont pas vulnérables – Adam Gowdiak, le PDG de la société et le chercheur qui a publié la découverte, affirme que les autres systèmes d’exploitation, tant 32 bits que 64 bits, sont vulnérables.
Outre le dernier échec en date, il est recommandé ici de désactiver le plugin si vous ne l’utilisez pas. Oracle, qui maintient Java, n’a pas encore eu le temps de publier un correctif de sécurité, car l’existence de la vulnérabilité a été rendue publique aujourd’hui. La firme ne dit pas si elle a déjà vu une attaque sur le web exploitant cette faille et estime qu’Oracle ne la corrigera que le 16 octobre, date à laquelle la prochaine mise à jour est prévue.
