Trou dans les Java Windows et Linux

Actualités - Alerte - Posté on 12 Avr 2010 at 11:48 par Solange Belkhayat-Fuchs

Après la superbe et pourtant antique faille VDM, voici que Tavis Ormandy dévoile un nouveau trou de sécurité affectant cette fois le composant Java Web Start de Sun/Oracle, dans sa version destinée à « tous les environnements Windows ». Devant le peu de réaction de la part d’Oracle qui estimerait que le trou de sécurité ne nécessite pas de correctif « hors calendrier » (Le rythme des rustines Oracle est trimestriel), le chercheur a décidé de publier à la fois une alerte sur la liste Full Disclosure (http://www.derkeiler.com/Mailing-Lists/Full-Disclosure/2010-04/msg00123.html) et une preuve de faisabilité sur son propre site. PoC qui exécute à distance le lancement de la calculatrice Windows.

Bien que précisant un prudent « I believe non-Windows installations are unaffected », il semblerait tout de même que Linux en pâtisse également. C’est ce qu’indique en tout cas le blog de Ruben Santamarta, qui accompagne également ses recherches d’un petit code d’exploitation. Santamarta précise toutefois « Bien que Linux contienne ce code vulnérable, je n’ai pas été capable de l’exploiter de la même manière ».

Laisser une réponse