Une nouvelle faille critique pour Java

Tags : java faille pour securite oracle struts windows

Java, le logiciel d'Oracle, est de nouveau sous le feu des projecteurs. La société Security Explorations a détecté une vulnérabilité critique, affectant les versions Java SE 5, 6 et 7 du logiciel.
C'est une bien mauvaise nouvelle pour Oracle, qui a déjà, le mois dernier, sortait un correctif important pour combler une faille elle aussi critique.

La faille permettrait de contourner totalement la sandbox de Java, ce qui pourrait compromettre totalement l'environnement de travail de l'utilisateur, ses données, son système d'exploitation.

DR.

En effet, quand on exécute Java, tout ce qu'on y fait se déroule dans une boite virtuelle, appelé JMV (Java Virtual Machine). Par construction, celle-ci est hermétique, inviolable, c'est à dire totalement isolé du reste de votre machine. On peut donc laisser tout et n'importe quoi y évoluer, puisque rien ne peut en sortir.

Mais avec cette faille, la boite de Pandore n'est plus si fiable. Le code que l'on avait l'autorisation d'exécuter dans ce milieu sécurisé va pouvoir sortir de son écran et être appliqué à l'ensemble de votre machine. Ouch.

C'est un milliards de postes qui sont concernés. Et peut-être même le vôtre : java est souvent installé sous forme d'un plugin dans votre navigateur. La bonne pratique est donc de le désactiver en attendant le correctif.