Un problème de sécurité sous Java découvert

Cloud

La société créatrice du langage Java a confirmé que, dans certaines conditions, des pirates pourraient tirer profit d’un trou de sécurité touchant notamment le JRE (Java runtime environment). Sans grande conséquence toutefois.

Sun Microsystems a prévenu de l’existence d’un trou de sécurité dans Java qui permettrait à des pirates de s’infiltrer dans des environnements Java pour y lancer des commandes normalement non autorisées. Selon un bulletin sur la sécurité publiée cette semaine par la société, Sun confirme que certaines version du Java runtime environnement (JRE) autoriseraient le lancement par du code Java de commandes interdites. Sun se veut pourtant rassurant, en rappelant que la configuration de base du JRE empêche l’exécution de telles commandes. Autrement dit, cette vulnérabilité n’a que peu de chances d’être exploitée.

Une faille difficile à exploiter« C’est comme si vous aviez laissé la porte de votre maison ouverte », explique un porte-parole de la société. « La situation normale est qu’elle soit fermée, mais si vous la laissez ouverte, n’importe qui peut entrer ». Et de continuer en indiquant que la faille ne peut être exploitée qu’à la condition que l’exécution d’une telle commande soit autorisée au moins une fois par l’utilisateur.

Selon Sun, on n’a relevé aucun exemple d’exploitation de cette faille. Il convient toutefois d’être prudent puisque le JRE et les kits de développement Java, versions 1.2.2_005 et 1.2.1_003, ainsi que les versions précédentes, sont potentiellement affectées. La firme a également indiqué que le problème affecte les versions de Java issues des sociétés auxquelles elle a cédé une licence d’exploitation du langage. Tout en assurant qu’un remède leur avait été envoyé. Toutefois, il est à noter que Netscape Navigator et Internet Explorer de Microsoft ne sont pas concernés.