Deux nouvelles failles critiques découvertes dans Java
A peine une grave faille corrigée qu'en surgissent d'autres : Adam Gowdiak, chercheur en sécurité au sein de Security Explorations, vient d'envoyer à Oracle la preuve que deux vulnérabilités critiques pouvaient être exploitées dans la toute dernière version de Java (7.11). Les failles en question sont graves puisqu'elles permettent de contourner la sandbox du langage orienté objet, et d'exécuter du code à distance. Les détails de leur code d'exploitation ne sont cependant pas publics, Security Explorations souhaitant attendre qu'un patch soit proposé pour les révéler.
Ces derniers mois auront mis à l'épreuve Oracle et la sécurité de Java, avec la découverte de plusieurs failles critiques. Une tendance qui pousse aujourd'hui de nombreux experts, ainsi que le département de la sécurité intérieure des Etats-Unis, à conseiller de tout simplement désactiver Java des navigateurs lorsque c'est possible.
Dans la dernière version de Java, qui corrigeait une faille massivement exploitée, Oracle a cependant monté d'un cran les paramètres de sécurité, désormais réglés sur "haute sécurité" par défaut. Les utilisateurs devraient ainsi pouvoir empêcher l'exécution d'applets (petites applications Java fonctionnant dans le navigateur) malicieuses, puisqu'ils devront donner leur accord avant qu'elles ne se lancent.