C'est la loi des séries. Après la faille critique découverte dans Java fin août, en voici une autre découverte en cette fin septembre. La faille a été découverte par l'expert en sécurité Adam Gowdiak, de Security Explorations. Autrement dit, on prend les mêmes et on recommence 🙂 Adam Gowdiak a fait part de sa découverte sur Full Disclosure.
Cette faille est pire que celle du mois d'août dans le sens où elle touche au moins Java SE 5 Update 22 (build 1.5.0_22-b03), Java SE 6 Update 35 (build 1.6.0_35-b10), Java SE 7 Update 7 (build 1.7.0_07-b10). Adam affirme être capable de l'exploiter sur Firefox 15.0.1, Google Chrome 21.0.1180.89, Internet Explorer 9.0.8112.16421 (update 9.0.10), Opera 12.02 (build 1578), Safari 5.1.7 (7534.57.2). L'exploit permet d'outrepasser la sandbox Java et ses contraintes de sécurité, et donc d'attaquer l'OS sous-jacent.
Mais elle est moins grave que celle du mois d'août, dans le sens où il n'y aurait pour l'instant pas d'exploit en circulation sur le net.
La plupart des experts en sécurité qui ont communiqué sur la question, recommandent néanmoins tous de désactiver le plugin Java en attendant la publication d'un correctif. Ce correctif ne devrait pas trop tarder, Oracle ayant reconnu l'existence de la faille.
