Une importante faille de sécurité a été découverte dans Java 7 Update 6 le 30 août dernier. Elle peut être exploitée via un applet pour désactiver le SecurityManager de Java et permettre ainsi l’exécution de code arbitraire.
Un utilisateur qui consulte une page web contenant un applet malicieux peut voir la disponibilité, l’intégrité et la confidentialité de son système d’exploitation affecté (récupération de données personnelles, installation de logiciels malveillants, … : la faille donne au pirate un accès total au système d’exploitation).
Attention, les applets Java sont parfois exécutés automatiquement par votre navigateur (sans vous demander d’autorisation préalable). Pour savoir si c’est le cas, rendez-vous sur la page de démonstration des applets Java.
Cliquez ensuite sur l’un des liens proposés. Si l’animation s’exécute sans que votre navigateur vous demande de confirmer l’opération, votre système est potentiellement vulnérable.
Les principaux systèmes touchés sont Firefox sur Ubuntu 10.04, Internet Explorer, Chrome et Firefox sur Windows XP, Vista et Windows 7, Firefox et Safari sur Mac OS X 10.7.4.
Oracle avait été informée de cette faille par le cabinet de sécurité polonais Security Explorations le 2 avril 2012, ce qui a donné lieu à la publication de la mise à jour Java 7 Update 7 le 31 août 2012. Cependant, quelques jours plus tard, une autre faille de sécurité (exploitant les mêmes vulnérabilités) a été découverte dans la mise à jour.
Pour l’instant, la meilleure alternative est la désactivation du plug-in Java dans les navigateurs web (la désinstallation complète de Java n’est pas nécessaire).
- Désactiver Java sous Firefox
- Désactiver Java sous Internet Explorer
- Désactiver Java sous Safari
- Désactiver Java sous Google Chrome
Sources :
- http://www.developpez.net/forums/d1256261/java/general-java/faille-securite-critique-java-7-update-6-a/
- https://blogs.oracle.com/security/entry/security_alert_for_cve_20121
- http://www.security-explorations.com/en/SE-2012-01-status.html
- http://www.security-explorations.com/en/SE-2012-01-press.html