Une vulnérabilité importante vient d’être découverte dans l’environnement d’exécution Java. Nous devons cette information à nos confrères d’InformationWeek.
Cette faille permet à une personne mal intentionnée de lancer du code sur la machine de l’utilisateur et ainsi d’en prendre le contrôle à distance. Elle touche toutes les versions Windows de Java depuis la 6 update 10. La vulnérabilité est également présente sous Linux, mais n’est pas encore exploitable. Notez que supprimer le greffon flash ne permettra pas d’éliminer ce problème qui touche Java Web Start.
Le principe de cette vulnérabilité est simple: lors du lancement d’un module via Java Web Start, il est possible d’ajouter des paramètres à la ligne de commande de javaws. Ceci permettra par exemple de charger du code malveillant, sans que l’utilisateur soit averti. Une démonstration d’exploitation de cette technique a été présentée ici (elle est sans risque).
Tavis Ormandy, qui a découvert cette faille, a averti Oracle, qui a jugé qu’elle n’était pas suffisamment grave pour justifier la sortie immédiate d’un correctif. La compagnie ayant comblé les failles de sécurité de Java il y a seulement quelques jours, il faudra donc attendre un trimestre complet avant que cette vulnérabilité ne soit supprimée. Dans l’intervalle, Tavis Ormandy donne quelques pistes permettant de sécuriser sa machine. Le plus simple reste toutefois de supprimer Java de votre PC, si vous le pouvez.
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…