Une semaine après la correction par Oracle d’une faille de sécurité critique dans Java, ce dernier est à nouveau victime de deux brèches. Une accumulation telle de problèmes que la société à l’origine de ces découvertes, Security Explorations, se demande s’il n’y a pas un sérieux problème dans la qualité du code de Java 7.
Il y a une semaine, nous rapportions dans nos colonnes qu’une nouvelle faille Java avait été détectée. Présentée dans les versions Update 9 et 10 de Java 7, elle permettait à une page web spécialement conçue de faire exécuter un code arbitraire grâce à une escalade de privilèges en utilisant le Security Manager. Oracle avait corrigé la faille, mais la société Security Explorations avait par la suite précisé que le correctif n’était justement pas complet.
La même entreprise a publié vendredi sur le site Seclists.org un nouveau bulletin. C’est le PDG Adam Gowdiak qui prend à nouveau la parole pour expliquer que la faille qu’Oracle a corrigée seulement en partie ouvrait d’autres pistes d’exploration. Deux nouvelles failles ont été trouvées, et Gowdiak ajoute qu’Oracle a été averti dans la foulée, via notamment un Proof of Concept fonctionnel.
Interrogé par PC World, le PDG de Security Explorations a indiqué qu’il y avait « clairement quelque chose d’inquiétant dans la qualité du code de Java SE 7 », avant d’ajouter que le problème venait probablement d’une absence de Secure Development Lifecycle (ensemble de règles visant le développement sécurité d’un projet), ou peut-être d’un problème interne chez Oracle.
Notez que les nouvelles failles n’ont pas de rapport avec les anciennes. Gowdiak a de plus signalé que la dernière mise à jour 11 pour Java 7 avait introduit une barrière supplémentaire. Les applets Java ne peuvent en effet plus être lancés sans que l’utilisateur les ait acceptés via une boîte de dialogue. Il s’agit clairement pour lui d’un pas dans la bonne direction.
Enfin, on rappellera que l’intégration de Java dans le navigateur peut être coupée directement depuis le panneau de gestion correspondant. On trouve ce dernier dans le panneau de configuration sous Windows, ou encore dans Paramètres sous OS X. Cette intégration ne coupe pas Java, ce qui permettra par exemple aux joueurs de Minecraft de laisser l’environnement installé tout en ne courant pas le risque de voir une faille exploitée durant la navigation.
