Microsoft et Oracle ont publié conjointement des correctifs la semaine dernière pour des exploits zero-day trouvés au sein d’Internet Explorer 8 et Java. À ce sujet, si vous utilisez encore Internet Explorer 8 ou même une version antérieure, je ne peux que vous recommander de télécharger le correctif qui est disponible via Windows Update. Comme pour Java, vous devriez penser à changer votre navigateur…

Ah Java ! Alors que l’on pourrait en rire, sachez que tout de même l’heure est grave pour ce composant dont Oracle doit constamment colmater les brèches… En effet, alors que récemment la firme s’est mise en abîme avec un patch venant résoudre tous les soucis du monde après qu’une faille de sécurité au sein de leur logiciel, Java, permettant à des hackers d’exécuter à distance du code malveillant exploité « à l’état sauvage » ait été détectée, on reparle aujourd’hui de cette histoire, mais comme si nous étions revenus au point de départ.

Comme le relaie Ars Technica, Krebs on Security mentionne qu’un hacker a déjà trouvé une faille dans le correctif Java publié par Oracle et mis en ligne cette semaine. Ce dernier aurait notamment relayé ces informations à d’autres sur un forum Internet privé, et a commencé à chercher des acheteurs. Voici le pitch de vente :

New Java 0day, selling to 2 people, 5k$ per person

And you thought Java had epically failed when the last 0day came out. I lol’d. The best part is even-though java has failed once again and let users get compromised… guess what? I think you know what I’m going to say… there is yet another vulnerability in the latest version of java 7. I will not go into any details except with seriously interested buyers. Code will be sold twice (it has been sold once already). It is not present in any known exploit pack including that very private version of [Blackhole] going for 10$k/month. I will accepting counter bids if you wish to outbid the competition. What you get? Unencrypted source files to the exploit (so you can have recrypted as necessary, I would warn you to be cautious who you allow to encrypt… they might try to steal a copy) Encrypted, weaponized version, simply modify the url in the php page that calls up the jar to your own executable url and you are set. You may pm me.

Ce qui est inquiétant, c’est que le thread a disparu hier, ce qui signifie que l’exploit a été vendu… Autrement dit, nous pourrions potentiellement voir une autre dangereuse attaque zero-day sur Java dans un proche avenir.

Oracle ne peut pas prédire l’avenir, et ses ingénieurs ne peuvent évidemment pas prédire les exploits qui vont être trouvés dans son logiciel. Les hackers auront toujours une longueur d’avance sur les développeurs de logiciels – et ce n’est pas spécifique pour Oracle. En effet, il est toujours plus facile de trouver une faille, que de penser à colmater les possibles failles.

En tout cas, Oracle doit rester vigilant afin de rapidement trouver ​​une solution à chaque fois qu’un nouvel exploit est découvert. La présence de Java sur plus d’un milliard de PC doit mettre une tonne de pression sur l’entreprise, mais j’espère qu’elle pourra, à défaut de ne pouvoir anticiper les problème, publier des correctifs aussi rapidement que le dernier venu.

Et pour la prochaine fois, peut-être vérifier le correctif pour s’assurer qu’il n’y a pas de failles de sécurité laissées dans ce dernier…

Dans tous les cas, qu’il s’agisse de votre ordinateur à la maison ou sur votre lieu de travail, il est fortement envisagé de désactiver Java dès lors qu’un nouvel exploit est détecté, et ce jusqu’à ce qu’un patch soit rendu public par Oracle. Mais, il semble peu probable que ces nouvelles failles de sécurité soit connues du grand public…

 

Article original par: Yohann Poiron http://www.blog-nouvelles-technologies.fr/archives/22993/le-patch-java-ne-resout-pas-tout-un-nouvel-exploit-est-en-vente-pour-5000-dollars/