Récemment, ceux qui ont installé Java sur Windows ont reçu une notification pour procéder à une mise à jour. Cette dernière n’était pas anodine : elle corrigeait pas moins de 27 vulnérabilités. Malheureusement, une nouvelle faille vient d’être mise à jour, et elle est de type 0-day.Cette nouvelle brèche est donc déjà exploitée au moment de sa publication. Elle concerne Java 6 Update 19, c’est-à-dire la dernière version, ainsi que toutes les moutures depuis l’Update 10. La faille se trouve précisément dans le Java Deployment Toolkit qui s’intègre sous forme de plug-in dans les navigateurs. Ainsi, pour Internet Explorer, il se présente sous forme d’un contrôle ActiveX, et pour les autres comme un plug-in NPAPI.
Si un utilisateur malveillant arrive à faire aller un utilisateur sur un site web malveillant prévu à cet effet, un code arbitraire pourra alors s’exécuter. En fait, javaw.exe récupèrera un fichier JAR, bien évidemment ciselé pour l’occasion, et ne verra pas le mal à faire ce qu'on lui demande.
L’éditeur de solutions de sécurité GData indique que la dangerosité de la faille vient du fait que tous les navigateurs sont touchés. Désactiver le JavaScript ne servira absolument à rien et la faille restera exploitable. Il faut aller beaucoup plus loin :
- Pour tous les navigateurs dont la gestion des plug-ins le permet, désactiver le Java Deployment Toolkit
- Dans Internet Explorer, il faut carrément placer un bit d’arrêt de classe ID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA pour l’ActiveX.
Dans tous les cas, tant que cette faille n’est pas rebouchée, il faudra faire particulièrement attention aux sites visités.
