Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

En bref

Java (peut-être) à nouveau compromis

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Java (peut-être) à nouveau compromis

Quelques jours à peine après avoir corrigé une vulnérabilité zero-day critique dans Java (la fameuse CVE-2013-0422), Oracle doit faire face à la rumeur d’une nouvelle faille similaire, tout aussi critique. Selon le chroniqueur Brian Krebs, un inconnu aurait mis en vente dès le 14 janvier (soit 24h à peine après le correctif d’Oracle), un nouvel exploit Java. Celui-ci fonctionnerait également avec la version courante (Java 7 Update 11) et permettrait à une applet Java exécutée sur la machine de s’affranchir des limites imposées par le modèle de sécurité de Java. C’est à dire d’accéder à l’intégralité du contenu de la machine, par exemple.

Krebs s’interroge cependant sur le prix réduit de l’exploit. Ce dernier est en effet vendu 5 000 $ à deux acheteurs maximum, soit un revenu total pour le vendeur de 10 000$, alors qu’un exploit zero-day peut souvent se négocier cinq à dix fois ce tarif. Pour lui, il s’agit soit d’un vieil exploit (une arnaque, donc), soit d’un signe que les prix des exploits Java sont en chute libre après les nombreux encouragements à désactiver Java dans les navigateurs (une bonne habitude à prendre quoi qu’il arrive !)

Quelle qu’en soit la raison, la série de vulnérabilités critiques découvertes dans Java milite pour une désactivation pure et simple du support Java dans votre (ou vos…) navigateur(s). A de rares exceptions près (l’accès à certaines applications métier sur un Intranet, par exemple), Java n’est plus indispensable à la navigation. Et il le sera probablement de moins en moins avec la progression de HTML 5.

Plus d’information :

Le billet original de Brian Krebs
« Comment désactiver Java dans le navigateur« , sur le blog sécurité de Sophos


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.