Pour gérer vos consentements :
Categories: Cloud

Sécurité IT : Java n’est pas encore sans faille

L’application, début février, d’une mise à niveau qui résorbait, d’une traite, 50 brèches de sécurité dont 49 jugées critiques, n’avait pas suffi à dissiper les soupçons qui pesaient quant à la santé fragile de l’environnement Java.

Ce dernier reste effectivement, malgré les soins que lui prodigue Oracle, vulnérable à de nombreuses failles.

La dernière en date, classée hautement critique (niveau maximal sur une échelle de 10), a nécessité le déploiement d’un correctif en urgence.

Référencée CVE-2013-1493, elle est activement exploitée via des pages Internet malveillantes, pour transmettre du code à distance et injecter, avec les privilèges de la session en cours sur la machine cible, le malware McRAT.

Le trou de sécurité réside plus précisément dans le moteur 2D de Java. Il ne touche que le plugin pour navigateurs Web ; les applications autonomes et les instances exécutées sur serveur ne sont pas concernées.

Oracle n’en est plus à ses premières tribulations sur le dossier, mais semble dépassé par le rythme des événements.

Sur ses blogs, l’éditeur reconnaît toutefois que ladite faille CVE-2013-1493, exploitable dans Java Standard Edition 5, 6 et 7, est répertoriée dans ses registres depuis le 1er février, mais « qu’il était trop tard pour l’inclure dans la mise à niveau programmée le 19 février« .

Il était question d’un déploiement repoussé au 16 avril, mais les pirates informatiques en ont décidé autrement, secondés par les appels à la vigilance des experts en sécurité IT (FireEye, iDefense, TippingPoint).

La cellule américaine US-CERT se montre plus ferme encore. Elle campe sur ses positions adoptées de longue date, recommandant de désactiver le greffon, sans concession.

Ses conseils ont d’autant plus d’écho que la vague d’attaques informatiques qui a récemment frappé des sites médias, des groupes Internet et de grands noms de l’IT trouvaient leurs origines… dans l’exploitation d’une faille Java.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien les Anonymous ?

Crédit photo : Victor Correia – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago