Quelques jours à peine après avoir corrigé une vulnérabilité zero-day critique dans Java (la fameuse CVE-2013-0422), Oracle doit faire face à la rumeur d’une nouvelle faille similaire, tout aussi critique. Selon le chroniqueur Brian Krebs, un inconnu aurait mis en vente dès le 14 janvier (soit 24h à peine après le correctif d’Oracle), un nouvel exploit Java. Celui-ci fonctionnerait également avec la version courante (Java 7 Update 11) et permettrait à une applet Java exécutée sur la machine de s’affranchir des limites imposées par le modèle de sécurité de Java. C’est à dire d’accéder à l’intégralité du contenu de la machine, par exemple.

Krebs s’interroge cependant sur le prix réduit de l’exploit. Ce dernier est en effet vendu 5 000 $ à deux acheteurs maximum, soit un revenu total pour le vendeur de 10 000$, alors qu’un exploit zero-day peut souvent se négocier cinq à dix fois ce tarif. Pour lui, il s’agit soit d’un vieil exploit (une arnaque, donc), soit d’un signe que les prix des exploits Java sont en chute libre après les nombreux encouragements à désactiver Java dans les navigateurs (une bonne habitude à prendre quoi qu’il arrive !)

Quelle qu’en soit la raison, la série de vulnérabilités critiques découvertes dans Java milite pour une désactivation pure et simple du support Java dans votre (ou vos…) navigateur(s). A de rares exceptions près (l’accès à certaines applications métier sur un Intranet, par exemple), Java n’est plus indispensable à la navigation. Et il le sera probablement de moins en moins avec la progression de HTML 5.

Plus d’information :

Le billet original de Brian Krebs
« Comment désactiver Java dans le navigateur« , sur le blog sécurité de Sophos