Les pirates qui entretiennent Trou noir et Pack Nucléaire — produits criminels concurrents conçus pour être intégrés à des sites piratés et utilisant des failles de navigateur pour imposer des logiciels malveillants – disent qu’ils ont ajouté un tout nouvel exploit qui attaque une faille de sécurité jusque-là inconnue et actuellement non corrigée dans Java.
Le conservateur de Blackhole, un mécréant qui utilise le surnom de « Paunch », a annoncé hier sur plusieurs forums Underweb que le Java zero-day était un « cadeau du Nouvel An », aux clients qui utilisent son kit d’exploitation. Paunch s’est vanté d’avoir été le premier à inclure la puissante arme offensive, mais peu de temps après, la même annonce a été faite par le fabricant et vendeur de Nuclear Pack.
Selon les deux auteurs de logiciels criminels, la vulnérabilité existe dans toutes les versions de Java 7, y compris la dernière — Java 7 mise à jour 10. Cette information n’a pas pu être vérifiée immédiatement, mais si vous avez installé Java, ce serait une très bonne idée de débrancher Java de votre navigateur, ou de désinstaller complètement ce programme si vous n’en avez pas besoin. Je mettrai à jour ce post au fur et à mesure que de nouvelles informations seront disponibles.
Mise à jour, 8 h 47 HE : Alienvault Labs dire qu’ils ont reproduit et vérifié les revendications d’un nouveau Java zero-day qui exploite une vulnérabilité (CVE-2013-0422) dans les versions entièrement corrigées de Java 7.
Mise à jour, 11 h 46 HE : Comme plusieurs lecteurs l’ont noté, Java 7 Update 10 est livré avec une fonctionnalité qui rend beaucoup plus simple la déconnexion de Java du navigateur que dans la version précédente. Les instructions d’Oracle pour l’utilisation de cette fonctionnalité sont iciet les gens de l’US-CERT du DHS sont maintenant recommander cette méthode aussi.