Proposée au téléchargement jeudi dernier, l'Update 7 de Java 7 censée corriger une vulnérabilité importante exploitée pour déployer un cheval de Troie est victime d'une nouvelle faille, selon l'éditeur de sécurité polonais Security Explorations. Celui-ci affirme avoir découvert une faiblesse permettant à des utilisateurs malveillants de contourner la zone de sécurité (« sandbox ») de Java.
D'autres chercheurs de l'institut de sécurité ICS ont découvert que des pirates pouvaient utiliser cette faille pour mener des campagnes d'hameçonnage d'utilisateurs Microsoft et Amazon. La technique consiste à usurper l'identité des sociétés pour recueillir des informations personnelles sur les usagers.
L'ICS indique avoir reçu plusieurs témoignages d'internautes ayant reçu un faux e-mail de Microsoft alertant sur une modification importante des conditions d'utilisation. Un lien censé rediriger la personne vers une page officielle du site de Microsoft renvoie en fait vers un Blackhole.
Selon le cycle de mise à jour d'Oracle tous les quatre mois, il ne faut pas s'attendre à un correctif complet avant le 16 octobre prochain. La société pourrait toutefois déroger à son calendrier comme elle l'a fait jeudi dernier. Security Explorations avait pourtant prévenu Oracle de cette faille 0-Day dès le mois d'avril.