On parle maintenant d'une nouvelle faille critique de type zéro-day affectant Java.
Toutes les versions de Java sont affectées par une grave
vulnérabilité non corrigée à ce jour offrant une brèche d’accès pour aux pirates.
Le code exploitant la vulnérabilité du plugin Java des navigateurs a été ajouté à plusieurs kits d’exploitation pirates, des packs « All-in-One » prêts à l’emploi diffusés dans les forums underground, des sites spécialisés bien connus des pirates.
La société Kasperksy, éditeur de l'antivirus du même affirme que "l'exploitation de la faille est massivement coordonnée" . L’éditeur d’antivirus explique que des publicités sur des sites légitimes, de météo ou d’actualité par exemple, sont redirigés vers des domaines exploitant cette faille zéro-Day afin d’infecter les machines des internautes.
Java a un vrai problème, le système n’est pas sécurisé, explique ainsi Jaime Blasco, de l’éditeur AlienVault. Il faut absolument le désactiver.
Toutes les versions de Java, y compris la plus récente (Java 7.10) sont concernées par cette vulnérabilité.
Les experts recommandent d’utiliser cette méthode en attendant la correction définitive.
A noter que le département américain de la Sécurité intérieure a mis en garde jeudi contre cette faille, en appelant ses utilisateurs à cesser d’y avoir recours.
Oracle, le propriétaire de Java, n’a pas encore réagi.
L’éditeur doit proposer ses mises à jour trimestrielles le 15 janvier prochain.
On se rappellera que Java avait déjà été affecté par une série de failles de sécurité critiques l’an passé, dont la dernière découverte en août a obligé Oracle à proposer un patch début septembre sortant exceptionnellement de son strict calendrier de mises à jour…
source:undernews.fr
