Java 7 : découverte d’une nouvelle faille de sécurité dans API Reflector
Java 7 : découverte d’une nouvelle faille de sécurité dans API Reflector
permettant d’exécuter du code arbitraire et réussir des attaques basiques de plus de 10 ans
Après un moment de répit, Java revient au-devant de la scène pour ses failles de sécurité.
La vulnérabilité concerne une fois de plus « l’API Reflector », intégrée dans Java et qui est source depuis plusieurs années des failles de sécurité critiques de la plateforme de développement.
Elle a été découverte par le cabinet de sécurité polonais Security Exploration, qui a confirmé que le code d’exploit fonctionne sur Java 7 SE et toutes les versions antérieures.
Selon Adam Gowdiak, PDG de l’entreprise, la faille peut permettre à des pirates de mettre en œuvre des attaques classiques connues depuis au moins 10 ans.
Comme il est de coutume, la vulnérabilité permet de contourner la sécurité du Sanbox (bac à sable) Java et d’exécuter du code de façon arbitraire.
Adam Gowdiak a une fois de plus critiqué la mise en œuvre de l’API Reflector, arguant que la fonction ne semble pas avoir été soumise à un examen de sécurité complet.
Plus qu’à espérer qu’Oracle, qui s’est engagé à corriger et communiquer sur les failles de Java, réagira rapidement afin de protéger les utilisateurs des attaques des pirates.
Oracle a été informé sur cette faille et le code d’exploit de celle-ci a été transmis à la firme par Security Explorations.
Source : Full Disclosure
Et vous ?
:fleche: Que pensez-vous de la récurrence des failles dans Java ? L’aspect sécurité a-t-il été sacrifié lors du développement de la plateforme ?
Les Applets (signés) sont incontournables
Citation:
Envoyé par
tchize_
Il y a certaines choses que tu ne sais pas faire avec html5. Par exemple, essaie de lire une carte d'identité électronique avec juste du html5 pour remplir un formulaire web :)
Ouais, t'as raison Tchize. J'ai eu à développer un module d'authentification par données biométriques (empreintes digitales précisément) couplé avec un lecteur de carte magnétique; et le tout doit fonctionner en mode web. Franchement il y a pas 36 solutions; il n'y a que les applets signés pour faire ça!
Nous espérons vivement que Oracle trouvera bien une meilleure solution à cette faille; mais pour l'instant on fait avec; et puis ça ne remet en cause en rien la sécurité de toute la plateforme Java. :ccool: