Les choses ne vont pas très bien pour Oracle. Moins d’une semaine après la publication d’un correctif pour une grave faille de sécurité dans Java, les chercheurs ont découvert deux nouvelles vulnérabilités dans le plugin. Après analyse, les experts en sécurité ont critiqué la mise à jour pour Java 7 Update 11, affirmant qu’Oracle n’avait corrigé qu’une des lacunes connues.
Adam Gowdiak, chercheur de Security Explorations, a confirmé sur la liste de diffusion Full Disclosure qu’il est encore possible de surmonter la barrière de protection Java dans la dernière version. Sans donner trop de détails, il a créé un exploit qui utilise deux vulnérabilités différentes de Java et a envoyé le code à Oracle, qui analyse le problème.
Gowdiak a déclaré à Softpedia qu’il n’était possible d’exploiter la faille découverte la semaine dernière que parce qu’Oracle n’a pas corrigé une ancienne vulnérabilité découverte en août de l’année dernière — c’est parce qu’un paquet de correction majeur a été publié en octobre. Un crack dans MBeanInstantiator permet d’exécuter un code malveillant avec des privilèges élevés, et il est toujours présent.
Comme toujours, la recommandation est de désactiver ou de désinstaller Java. Pour ceux qui en ont encore besoin, une option consiste à utiliser deux navigateurs : un avec Java désactivé, pour accéder aux sites en général, et un autre avec Java activé, pour accéder aux sites qui nécessitent le plugin (comme les banques). Les utilisateurs de Chrome peuvent également activer le “click-to-play”, qui exécute un plugin uniquement lorsque l’utilisateur l’autorise.
