Des malfaiteurs du cyber-underground vendent un exploit pour une faille de sécurité auparavant non documentée dans Oracle Java logiciel que les attaquants peuvent utiliser pour prendre le contrôle à distance des systèmes exécutant le programme, a appris BreachTrace.
La faille, actuellement vendue par un membre établi d’un forum Underweb sur invitation uniquement, cible une vulnérabilité non corrigée dans Java JRE 7 mise à jour 9la version la plus récente de Java (le vendeur dit que cette faille ne fait pas existent dans Java 6 ou des versions antérieures).
Selon le fournisseur, la faiblesse réside dans la classe Java « MidiDevice.Info », un composant de Java qui gère l’entrée et la sortie audio. « L’exécution du code est très fiable, a fonctionné sur les 7 versions avec lesquelles j’ai testé Firefox et MSIE au Windows 7», a expliqué le vendeur dans un fil de vente sur son exploit. Il n’est pas clair si Chrome est également touché. « Je ne vendrai ce produit qu’UNE SEULE FOIS et je ne garantis pas qu’il ne sera pas corrigé, alors utilisez-le rapidement. »
Le vendeur n’a pas été très précis sur le prix qu’il demande pour cet exploit, mais a fixé l’offre attendue à « cinq chiffres ». Le prix de tout exploit est en fin de compte celui que le marché supportera, mais cela correspond à peu près au dernier exploit Java zero-day qui était échangé et vendu dans le métro. En août, j’ai écrit à propos d’un exploit Java récemment découvert intégré au kit d’exploitation BlackHole, citant l’auteur de cet outil de crimeware disant que « le prix d’un tel exploit s’il était vendu en privé serait d’environ 100 000 $ ».
J’ai exhorté à plusieurs reprises les lecteurs qui n’ont aucune utilité pour Java à le supprimer complètement de leurs systèmes. Il s’agit d’un programme très complexe qui est largement installé (Oracle affirme que quelque 3 milliards d’appareils exécutent Java), et ces deux qualités en font une cible privilégiée pour les attaquants. De plus, Java est une technologie multiplateforme, ce qui signifie que les applications écrites pour s’exécuter en Java peuvent s’exécuter de manière transparente sur plusieurs systèmes d’exploitation. En effet, quelque 650 000 utilisateurs de Mac l’ont découvert à leurs dépens plus tôt cette année, lorsque le ver Flashback a profité d’une vulnérabilité non corrigée qui était présente dans la version de Java d’Apple.
Apple a depuis pris des mesures pour déconnecter Java du navigateur sous OS X, et c’est exactement l’approche que j’ai recommandée aux utilisateurs qui ont besoin de Java pour des sites Web ou des applications spécifiques (voir : Comment déconnecter Java du navigateur). Si vous avez besoin de Java pour des sites Web spécifiques, je suggérerais une approche à deux navigateurs. Si vous naviguez normalement sur le Web avec Firefoxpar exemple, pensez à désactiver le plug-in Java dans Firefox, puis à utiliser un autre navigateur (Chrome, IE9, Safarietc.) avec Java activé pour parcourir uniquement le site qui en a besoin.