Déployé en catastrophe en fin de semaine dernière, le correctif Java 7 Update 7 présenterait également des vulnérabilités de la plus haute importance.

En réponse à des découvertes de vulnérabilités zero-day qui visaient Java, considérées comme « extrêmement critique » par les experts en sécurité, Oracle a publié un correctif de sécurité en fin de semaine dernière. Si l’exploit avait été trouvé en avril dernier par Security Explorations, il a fallu attendre que la vulnérabilité soit exploitée par des pirates pour qu’Oracle fixe le problème.

Fixer le problème, pas vraiment, car Oracle à opté pour une suppression des commandes getField et getMethod dans l’implémentation de la classe sun.awt.Toolkit, ce qui supprime simplement l’un des vecteurs d’exploitation des failles sans corriger le problème à la racine.

De fait, les chercheurs de Security Explorations ont indiqué avoir trouvé une nouvelle vulnérabilité dans la dernière version de Java publiée jeudi dernier. Cette découverte met en avant une vulnérabilité qui permettrait à des hackers d’échapper à la sandbox Java, autrement dit à la zone souvent utilisée pour exécuter du code non testé ou de provenance douteuse, et ainsi exécuter du code sur le système sous-jacent.

Dans un e-mail adressé aux CSO, le chef de la Direction de Security Explorations, Adam Gowdiak, relève que la dernière mise à jour de Java est efficace pour stopper les attaques précédemment utilisées pour infecter les ordinateurs mais que ce correctif n’a corrigé que la menace immédiate…

Adam Gowdiak précise que les personnes malintentionnées pourraient combiner la nouvelle faille avec d’autres failles non corrigées pour « parvenir à complètement se passer de la sandbox JVM ». Un rapport dans ce sens a déjà été soumis à Oracle.

Pour l’heure, aucune information n’indique que des hackers utilisent de nouvelles failles de Java pour s’introduire dans les systèmes. Il reste à espérer que cela reste comme cela jusqu’à ce qu’Oracle les corrige.