Faille Java : l'Update 7 proposée par Oracle est vulnérable

Thomas Pontiroli
Publié le 05 septembre 2012 à 11h42
Malgré la mise à jour de sécurité déployée par Oracle jeudi dernier pour sa plateforme Java 7, des chercheurs affirment que la faille n'a été comblée qu'en partie, mettant au jour une nouvelle vulnérabilité.

00C8000003941372-photo-java-logo.jpg
Proposée au téléchargement jeudi dernier, l'Update 7 de Java 7 censée corriger une vulnérabilité importante exploitée pour déployer un cheval de Troie est victime d'une nouvelle faille, selon l'éditeur de sécurité polonais Security Explorations. Celui-ci affirme avoir découvert une faiblesse permettant à des utilisateurs malveillants de contourner la zone de sécurité (« sandbox ») de Java.

D'autres chercheurs de l'institut de sécurité ICS ont découvert que des pirates pouvaient utiliser cette faille pour mener des campagnes d'hameçonnage d'utilisateurs Microsoft et Amazon. La technique consiste à usurper l'identité des sociétés pour recueillir des informations personnelles sur les usagers.

L'ICS indique avoir reçu plusieurs témoignages d'internautes ayant reçu un faux e-mail de Microsoft alertant sur une modification importante des conditions d'utilisation. Un lien censé rediriger la personne vers une page officielle du site de Microsoft renvoie en fait vers un Blackhole.

Selon le cycle de mise à jour d'Oracle tous les quatre mois, il ne faut pas s'attendre à un correctif complet avant le 16 octobre prochain. La société pourrait toutefois déroger à son calendrier comme elle l'a fait jeudi dernier. Security Explorations avait pourtant prévenu Oracle de cette faille 0-Day dès le mois d'avril.
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles