La faille de sécurité zero day de Java exploitée

Des pirates russes seraient parvenus à exploiter la faille zero day présente dans Java Web Start, selon le directeur technique d'AVG Roger Thompson. La nouvelle fonctionnalité, disponible depuis la mise à jour d'avril 2008 de Java 6, a introduit une faille révélée par Tavis Ormandy la semaine dernière. Cet ingénieur sécurité chez Google en avait informé Sun, mais a publié le code depuis. Oracle / Sun avait en effet estimé que la faille n'était pas suffisamment importante pour justifier le chamboulement de son cycle de sorties de patchs.

Selon Roger Thompson, les pirates russes s'en sont pris à un site de paroles de chansons. L'attaque se serait déroulée lorsque l'internaute tentait de voir les paroles de Rihanna, Usher, Lady Gaga et Miley Cyrus. « Qui aurait cru que Miley pourrait être dangereux ? », plaisante-t-il sur son blog. La consultation de ce site, dont le nom n'a pas été donné par Thompson, mais qui serait Songlyrics.com, amène les visiteurs sur le serveur pirate, où ils subissent des attaques de logiciels malveillants. L'attaque concerne les ordinateurs sous Windows, avec Internet Explorer ou Firefox. Le cas de Chrome, Safari ou Opera est encore incertain.

« Le code en question est vraiment simple, et facile à copier. Il n'est donc pas étonnant que nous le découvrions cinq jours plus tard dans une attaque d'un serveur basé en Russie », a commenté Roger Thompson. Oracle n'a pas encore commenté.

Les équipes en charge de ce produit ont toutefois mis en ligne jeudi une nouvelle version du runtime Java, dont on suppose qu'elle corrige cette faille. Les notes de version n'en font toutefois pas état pour le moment.