Une vulnérabilité qui permet de s’échapper du bac à sable de la machine virtuelle Java pour exécuter du code sur le système, c’est sérieux.

Que Sun ait attendu cinq mois (d’août 2008 à décembre 2008) pour la corriger, cela devient dérangeant.

Mais d’apprendre aujourd’hui que cette même vulnérabilité n’a toujours pas été corrigée par Apple dans la JVM livrée avec OSX, c’est insultant.

Le découvreur de la faille, après avoir alerté à la fois Sun et Apple, attendait que ce dernier rectifie le tir avant de communiquer sur son exploitation. Ne voyant rien venir dans le tout récent méga-correctif d’Apple livré la semaine dernière, l’auteur du premier exploit pour cette vulnérabilité a décidé de la rendre publique, en offrant en prime une applet Java proof-of-concept (en visitant cette page, l’applet exécutera /usr/bin/say sur le système, comme nous avons pu le vérifier avec la sortie de la commande top).

Apple bénéficierait probablement de s’inspirer des progrès de Microsoft en matière de gestion des correctifs et de communication sécurité.