Un important point faible dans Java 7

Guy Kindermans Rédacteur de Data News

Un point faible non corrigé dans Java 7 rend les environnements …

Un point faible non corrigé dans Java 7 rend les environnements runtime les plus récents de Java 7 peu sûrs, selon le contrôleur de malware FireEye.

Dans un article posteé sur son blog, Atif Mushtaq, un chercheur actif chez FireEye, décrit un point faible non corrigé dans les récents environnements runtime Java (Java Runtime Environment, JRE 1.7x), dont il a pu abuser sur sa “machine de test avec la toute nouvelle version de Firefox et avec le JRE 1.7 update 6”. Il a détecté des traces d’un exemple d’attaque visant cette brèche dans un domaine avec adresse IP renvoyant à Taïwan, en plus d’un ‘centre de commande’ d’instructions mal intentionnées à Singapour. C’est de là qu’un maliciel serait transféré en vue de contrôler à distance la machine infectée (une version du cheval de Troyes Poison Ivy remote administration, selon AlienVault).

L’US-CERT – l’équipe ‘security response’ gouvernementale américaine – a publié une mise en garde, d’où il ressort que le code mal intentionné est ainsi capable de détourner la protection de Java et d’acquérir des “full privileges”. Le logiciel mal intentionné peut fonctionner alors en dehors du bac à sable du runtime.

Le point faible est qualifié d’extrêmement critique par l’expert en sécurité Secunia et pourrait être présent aussi dans d’autres versions et mises à jour que dans le ‘build’ (1.7.0_06-b24) mentionné. Selon US-CERT, tant l’Oracle JRE 1.7 que l’OpenJDK JRE 1.7 seraient touchés. Outre dans Windows, le malware serait signalé également sur un Mac sous Macos X 10.7.4 avec Safari 6.0 (même si l’US-CERT affirmait le 29/8 que le matériel d’Apple n’était pas touché).

Oracle n’a pas encore prévu de patch pour ce point faible, et l’US-CERT prétend (en date du 29/8) “ne pas connaître actuellement de solution pratique à ce problème”. Des suggestions ont bien été faites du genre ‘désactivez le plug-in Java dans votre navigateur’, ‘désinstallez Java’ ou ‘revenez à Java 6’. Le magazine Infoworld a collecté d’autres conseils encore, mais aucun ne paraît idéal. Des experts en sécurité recommandent à Oracle de ne pas attendre la prochaine mise à jour normale des patchs qui a lieu tous les quatre mois (la suivante est prévue en octobre), mais de corriger ce point faible dans les plus brefs délais.

Lors de Black Hat 2012, la conférence annuelle des pirates et experts en sécurité, l’on avait déjà lancé averti que les faiblesses de Java seraient toujours davantage la cible d’attaques. Non seulement, les trajectoires d’attaque via notamment Flash en Reader d’Adobe sont mieux bloquées, mais il y a la large diffusion de Java et la négligence de nombreux utilisateurs de mettre à jour leur environnement Java. Un système d’actualisation automatique serait le bienvenu. Il est aussi recommandé à Oracle de mise davantage sur une approche ‘security development cycle’ par analogie avec ce que Microsoft a lancé depuis des années déjà (et ce qui a généré de nettement améliorations dans Windows et Offices).

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire