Les failles de sécurité ouvrent la porte aux cyber criminels
Lexsi est un cabinet français spécialisé dans la sécurité informatique. Il rebondit aujourd’hui sur les failles Java constatées ces dernières semaines, au travers de son blog.
Et d’expliquer comment JNA (Java Native Access), qui permet d’interagir avec la mémoire et du code natif, peut être détourné pour lancer du code à distance.
Voici l’environnement ciblé par cette démonstration :
Voilà qui ressemble à une imprenable forteresse. Erreur !
En quelques lignes de code il est possible d’allouer de la mémoire, d’y placer du code, puis de l’exécuter. Le tout à distance. Si certaines fonctionnalités sont filtrées lorsque Java est utilisé en tant que greffon, ce n’est visiblement pas le cas de JNA, qui devient ici particulièrement dangereux.
Grâce au bout de code de Lexsi, un exploit metasploit peut alors être envoyé à la machine faisant fonctionner Java. Efficace et tellement simple que cela en devient un peu effrayant. On comprend mieux dans ce contexte pourquoi la plupart des experts en sécurité recommandent de purement et simplement supprimer le greffon Java des postes de travail.
Ce que nous comprenons moins par contre, c’est pourquoi Oracle ne bloque tout simplement pas JNA au sein du plug-in. La société pourrait également se rapprocher des éditeurs de navigateurs web afin d’adapter le greffon au bac à sable intégré dans certains butineurs. Ce type d’attaque deviendrait alors inopérant… sauf à exploiter une éventuelle faille du bac à sable, bien évidemment !
Voir aussi
Quiz Silicon.fr – Connaissez-vous les secrets de Java ?
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…