Encore un nouvel exploit Java zero-day ?

Nous ne savons pas encore s’il s’agit d’une mauvaise blague dans le but de discréditer Oracle et Java, mais les médias ne parlent que d’une nouvelle faille potentielle non détectée dans Java.

Tout a commencé par un message du chercheur en sécurité Brian Krebs qui a observé un fil de discussion dans un forum sur la criminalité en ligne connu où quelqu’un vendait l’exploit pour 5 000 USD à seulement deux personnes (ce n’est pas beaucoup pour un exploit zero-day). Pourquoi exactement deux ? Parce qu’une faille est plus efficace si elle n’est pas détectée pendant une longue période par les sociétés spécialisées dans le domaine de la sécurité comme Avira. J’ai écrit sur le fait que les failles de sécurité sont devenues un commerce de nos jours et sur la manière d’effectuer correctement une divulgation.

Vrai ou faux, une chose est sûre : Oracle a résolu le précédent exploit zero day en toute hâte et certains disent que tout n’a pas été solutionné. Dans un courriel envoyé à la liste de diffusion Bugtraq vendredi 11/01/2013, Adam Gowdiak, PDG et fondateur de la compagnie Security Explorations basée en Pologne, a déclaré

qu’Oracle devait  encore résoudre tous les problèmes de vulnérabilité que son entreprise a signalés depuis Avril 2012 (oui, 2012).

Ils ont même découvert une nouvelle vulnérabilité qui « montre le contournement complet du sandbox JVM dans l’environnement du tout dernier logiciel Java SE (version 7 Mise à jour 7, sortie le 30 août 2012). La raison invoquée est un nouveau problème lié à la sécurité qui permet la possible exploitation de certains de nos bogues non encore traités », a  déclaré Gowdiak.

Nous ne pouvons qu’imaginer la situation dans laquelle se trouve Oracle en ce moment : ils ont acheté Sun Microsystems et Java en 2010, probablement sans connaître le volume gigantesque de codes. Comme c’est le cas dans de nombreuses reprises,  un grand nombre de développeurs sont partis sans doute avec leur savoir-faire Java. Il est clair et compréhensible qu’Oracle résout principalement les questions qui font la une des journaux, mais le développement des logiciels et en particulier l’assurance qualité des logiciels n’est pas quelque chose qui se fait instantanément en toute hâte. J’espère qu’Oracle se réserve le temps de se livrer à une revue correcte des codes et du refactoring de sorte qu’elle continue à développer une plateforme plus solide et plus connue. En supposant bien entendu que la période entre deux vulnérabilités suffise pour effectuer un refactoring et une revue de code. Si les choses continuent d’être à l’image de ce qui s’est passé au cours des 16 derniers mois, je crains que nous continuions à voir des vulnérabilités de plus en plus nombreuses qui vont affecter Java. Selon Oracle, Java fonctionne sur plus de 850 000 PC et sur plus de 3 milliards d’appareils dans le monde entier. Cela fait beaucoup de code Java. Comment se fait- il qu’Oracle n’ait pas pensé à cela il y a deux ans ?

J’ai déjà écrit sur ​​le fait que vous devriez désactiver ou désinstaller Java si vous n’en n’avez  vraiment pas besoin. Si vous avez vraiment besoin de Java, je vous conseille d’avoir deux navigateurs installés, l’un avec le plugin Java activé, l’autre sans. Celui avec Java doit être exclusivement utilisé avec ces applications / applets Java qui nécessitent Java. Le navigateur sans le plugin Java doit être utilisé pour la navigation normale. Et, actualisez Java si vous ne l’avez pas fait jusqu’à présent.

 

Sorin Mustaca

IT Security Expert