Java : alerte sur une faille critique "massivement exploitée"
Une nouvelle faille critique 0-day, c'est-à-dire pas encore corrigée, affecte Java. Le code exploitant la vulnérabilité du plugin Java des navigateurs a été ajouté à plusieurs "exploits kits", des packs d'exploitation de la faille prêts à l'emploi diffusés dans les forums et sites spécialisés souterrains mais bien connus des pirates. C'est ce qui pousse Kasperksy à affirmer que la distribution de l'exploit est "massive". L'éditeur d'antivirus explique avoir vu des publicités sur des sites légitimes, de météo ou d'actualité par exemple, redirigeant vers des domaines exploitant cette faille 0-day Java.
La vulnréabilité, critique, affecte toute les versions de Java, y compris donc la plus récente (Java 7.10). Cette toute dernière version dispose d'ailleurs d'une fonctionnalité permettant de facilement débrancher le plugin du navigateur depuis le panneau de configuration. Les experts recommandent d'utiliser cette méthode en attendant la correction définitive.
Oracle, le propriétaire de Java, n'a pas encore réagi. L'éditeur doit proposer ses mises à jour trimestrielles CPU (Critical Patch Update) le 15 janvier prochain. Java avait déjà été affecté par une grave faille largement diffusée fin août dernier, obligeant Oracle à proposer un patch début septembre sortant exceptionnellement de son strict calendrier de mises à jour.