mercredi 16 janvier 2013

Les applications Java restent vulnérables au piratage


Malgré le patch correctif proposé en urgence par Oracle, la grave vulnérabilité Java présenterait toujours des risques de sécurité. Le département de la sécurité intérieure des Etats-Unis préconise toujours d'éviter d'y recourir...

Oracle et les utilisateurs de Java 7 ont encore des cheveux blancs à se faire. Le département de la sécurité intérieure des Etats-Unis et plusieurs spécialistes en sécurité informatique n'ont ainsi pas manqué de monter au créneau pour alerter des risques toujours existants par rapport à l'utilisation de Java.

Bien que le patch Java 7 update 11 comble plusieurs failles de sécurité, et permette de signaler à l'utilisateur toute tentative d'exécution d'applet Java non signé, des problèmes substistent. D'après un billet écrit par le chercheur en sécurité Esteban Guillardoy sur le blog spécialisé Immunity, Oracle n'aurait en réalité en effet que partiellement comblé la vulnérabilité de Java SE 7.

Si le patch de sécurité lancé en urgence par Oracle permet bien de stopper tout code d'exploitation de la faille, "un attaquant avec suffisamment de connaissances du code Java et à l'aide d'un autre bug 0 day pourra continuer facilement à compromettre la sécurité des utilisateurs", indique Esteban Guillardoy. Il semble que c'est la vulnérabilité MBeanInstantiator.findClass (CVE-2013-0422) qui n'ait pas été totalement corrigée.

La correction des vulnérabilités Java comparable à une guerre d'usure

Le doute autour de la sécurité de Java a également fait réagir le département de la sécurité intérieure des Etats-Unis qui préconise même de continuer de ne pas utiliser Java même après l'application de la mise à jour du patch fournit par Oracle. Même son de cloche du côté du cabinet Security Explorations qui a précisé à Reuters que "les utilisateurs ont tout intérêt à présupposer que Java sera toujours vulnérable".

La sécurité de Java devrait en tout cas continuer à accaparer beaucoup de temps à Oracle, bien que les avis divergent sur la capacité de l'éditeur à assurer sa constante sécurité ou du moins à se montrer suffisamment réactif face aux menaces de vulnérabilités. "C'est une guerre d'usure mais Oracle finira par rendre Oracle plus sûr avec le temps", a indiqué Ross Barrett, senior manager chez Rapid7 à nos confrères de Computerworld. L'éditeur de sécurité Kaspersky se montre quant à lui plus dubitatif. D'après lui, plus de la moitié des cyberattaques visant à pénétrer la sécurité des postes de travail ont été effectuées via l'exploit d'une faille Java.

source: journal du net

Aucun commentaire:

Enregistrer un commentaire

Tout commentaire non signé par un indicatif radioamateur, swl, ou votre email sera refusé. F5IRO