Une faille a été repérée dans Java (version 7, mise à jour 9 et 10) qui permet « l’exécution de code arbitraire à distance » alerte le bulletin du CERTA.
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) conseille sans plus attendre et provisoirement « de désactiver Java tant qu’un correctif n’est pas diffusé par l’éditeur ». Et pour cause, la vulnérabilité dans le produit d’Oracle « permet une exécution de code arbitraire à distance au moyen d’une page Web spécialement conçue ». La faille n’est pas potentielle puisque « cette vulnérabilité est activement exploitée et largement diffusée » indique l’ANSSI.
Le Cert américain ajoute que cette attaque peut être menée par un utilisateur distant et non authentifié. Plus en détail, il faut savoir que chaque applet dans une page web ne peut s’exécuter que si un Security Manager est présent. Dans la plupart des cas, il s’agit de celui fourni par le navigateur, sinon de celui fourni par le plug-in Java Web Start. Une méthode permet à l’applet d’interroger la configuration pour savoir avec quels composants communiquer. Via plusieurs failles, un tel applet pourrait provoquer une escalade de privilèges pour obtenir du Security Manager les pleins pouvoirs.
Le principal problème de cette faille Java est qu’elle est exploitable et est déjà exploitée sur des installations entièrement à jour (Java 7 Update 10). En plus des organismes officiels de surveillance, la faille a été reproduite puis confirmée par AlienVault, qui avertit d’ailleurs dans son blog que les kits d’exploitation Blackhole et Nuclear Pack permettent déjà de l’utiliser.
Tous conseillent la désactivation temporaire de Java dans le navigateur web. La solution la plus simple, sous Windows, OS X ou autre, est de se rendre dans les paramètres de Java qui se trouvent dans le Panneau de configuration ou équivalent. De là, il faut cliquer sur l’onglet Sécurité puis désactiver la ligne concernant « le contenu Java dans le navigateur », ainsi que nous vous le montrons dans la capture ci-dessus.
