En février, Oracle a livré pas moins de deux correctifs pour Java, lesquels ont éliminé un total de plus de 50 failles de sécurité (voir « Oracle corrige 50 failles dans Java ! » et « Ultime correctif critique pour Java 6 »).
Hélas pour la société, la découverte de vulnérabilités critiques se poursuit. ITespresso.fr indique ainsi que la dernière en date, classée hautement critique (niveau maximal sur une échelle de 10), a nécessité le déploiement d’un correctif en urgence.
Référencée CVE-2013-1493, elle est activement exploitée via des pages Internet malveillantes, pour transmettre du code à distance et injecter, avec les privilèges de la session en cours sur la machine cible, le malware McRAT.
Le trou de sécurité réside plus précisément dans le moteur 2D de Java. Il ne touche que le greffon pour navigateurs web ; les applications autonomes et les instances exécutées sur serveur ne sont pas concernées.
Oracle n’en est plus à ses premières tribulations sur le dossier, mais semble dépassé par le rythme des évènements… malgré ses efforts.
Sur ses blogs, l’éditeur reconnaît que ladite faille CVE-2013-1493, exploitable dans Java Standard Edition 5, 6 et 7, est répertoriée dans ses registres depuis le 1er février, mais « qu’il était trop tard pour l’inclure dans la mise à niveau programmée le 19 février ».
Il était question d’un déploiement repoussé au 16 avril, mais les pirates informatiques en ont décidé autrement, secondés par les appels à la vigilance des experts en sécurité IT (FireEye, iDefense, TippingPoint).
La cellule américaine US-CERT se montre plus ferme encore. Elle campe sur ses positions adoptées de longue date, recommandant de désactiver le greffon, sans concession.
Ses conseils ont d’autant plus d’écho que la vague d’attaques informatiques qui a récemment frappé des sites médias, des groupes Internet et de grands noms de l’IT trouvaient leurs origines… dans l’exploitation d’une faille Java.
Crédit photo : © Nikolai Sorokin – Fotolia.com
Voir aussi
Quiz Silicon.fr – Connaissez-vous les secrets de Java ?
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…