Sécurité IT : la santé de Java reste fragile

Cloud
sécurité IT Java Oracle

Malgré le correctif que lui a appliqué Oracle, le greffon Java reste vulnérable à l’exploitation d’une faille de type 0-day. Les acteurs de la sécurité IT réitèrent leur appel à la vigilance.

On croyait Java remis d’aplomb.

Il n’en est rien, à en croire le département de la sécurité intérieure des Etats-Unis et les nombreux experts qui se sont penchés sur la question.

Les inquiétudes portent sur le correctif qu’Oracle a déployé ce lundi en réponse à la découverte, la semaine passée, d’une faille de type 0-day dans l’environnement Java Standard Edition 7 (Update 9 et Update 10).

Il semble que cet antidote diffusé à la hâte n’ait pas tout à fait l’effet escompté.

Le patch agirait partiellement, résorbant bel et bien certaines vulnérabilités, notamment grâce au blocage par défaut l’exécution d’applets non signés.

En tête de liste, le bug objet de toutes les attentions n’est plus. Il se logeait dans la nouvelle API Reflection.

Pour autant, au moins une brèche resterait grande ouverte aux pirates informatiques. Elle ressortirait à la méthode “findClass” de la classe MBeanInstantiator (CVE-2013-0422).

S’y infiltrer ne suffit plus à enclencher l’exploit permettant d’injecter du code arbitraire à distance via une page Web malveillante, mais il suffirait à l’assaillant d’y combiner une autre faille 0-day pour réactiver le processus.

Face à cette situation, les équipes de la cellule américaine US-CERT recommandent d’appliquer le principe de précaution, à savoir désactiver le plugin Java.

Un avis partagé par Security Explorations, qui s’est confié en ce sens à Reuters.

Les experts de Rapid7 sont plus catégoriques encore.  “Le plus sûr est de considérer que Java restera perpétuellement vulnérable“, résument-ils.

En France, le son de cloche diffère sous la houlette de la CERTA, qui privilégie un rétropédalage vers Java 6 Update 38.

Oracle n’en est plus à ses premières tribulations sur le dossier. Les correctifs ponctuels se multiplient et paraissent à une fréquence autrement plus soutenue que le cycle trimestriel de mise à jour.

L’éditeur peut-il se borner à attendre cette livraison trimestrielle pour corriger les problèmes de Java ou doit-il changer son fusil d’épaule ?

—— A voir aussi ——
Quiz ITespresso.fr : la sécurité sur Internet n’a pas de secret pour vous ?

Crédit photo : Michael Pettigrew – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur