Java sous la menace de codes exploits
Un code malveillant exploite deux vulnérabilités détectées dans les
composants JRE et SDK de Java.
Les pirates ont publié un code exploit (nom d’un programme ou technique permettant d’exploiter une faille de sécurité d’un logiciel) lié à Java Runtime Environment (1) et Java Software Development Kit (2). Ces deux outils de Sun Microsystems avaient pourtant obtenu des correctifs.
La faille permet l’exécution de code à distance sur un système Windows, Linux ou Solaris. Sun avait publié des correctifs pour les deux vulnérabilités en décembre dernier.
Le composant JRE permet d’exécuter du code JavaScript sur la plupart des systèmes d’exploitation, notamment Windows, MacOS, Linux et Unix.
Les vulnérabilités affectent les composants JRE 1.3.x, 1.4.x et 1.5.x, ainsi que les versions 1.3.x et 1.4.x de SDK et les 1.5.x de Java development kit (3).
L’éditeur danois de solutions de sécurité Secunia a défini l’une de ces vulnérabilités comme « hautement critique », soit le deuxième niveau le plus élevé, en raison du risque d’exécution de code à distance.
Bien que cela demeure assez rare, il arrive parfois qu’un code exploit affectant des vulnérabilités Java fasse surface, a indiqué Eric Sites, vice-président de la recherche et du développement de Sunbelt Software.
« Sun s’est toujours montré exhaustif et constant dans les produits qu’il met en oeuvre et dans la vitesse à laquelle il les met en oeuvre« , a confié Eric Sites à Vnunet.com.
Selon lui, Java offre par nature un système plus sécurisé en ce sens que JRE utilise une technique dite de « sandboxing » pour lui permettre de fonctionner comme une machine virtuelle qui bloque l’accès aux autres parties du système.
Mais, explique-t-il, les développeurs créent aujourd’hui des applications JavaScript nécessitant davantage de capacités, ce qui les amènent à appeler des fichiers .dll du système. Dès lors que les programmes dépassent la portée de la machine virtuelle pour les fichiers système, la protection de la sandbox est automatiquement réduite à néant.
Pour Eric Sites, ce dernier code exploit est particulièrement inquiétant dans la mesure où il peut être incorporé dans une petite application Java exécutée depuis une fenêtre du navigateur qui pourrait propager une charge utile [code du programme responsable de l’activation du virus, nldr] à une vitesse surprenante.
Traduction d’un article de Vnunet.com en date du 11 janvier 2007
(1) Java Runtime Environment (JRE) : machine virtuelle et l’ensemble des outils nécessaires pour exécuter une application Java.
(2) Java Software Development Kit (SDK) : Désigne l’ensemble d’outils nécessaires au développeur Java.
(3) Java Development Kit (JDK). Ancien terme désignant le SDK