Salut,
Vous avez peut-être entendu parler des failles 0-day concernant Oracle Java 1.7 découvertes cette semaine [anglais] qui permettent à un site web malveillant de télécharger et installer n’importe quel programme sur votre ordinateur sans aucun avertissement, et ce quel que soit l’OS (Windows, Mac, Linux).
On apprend aujourd’hui qu’Oracle avait connaissance de ces failles depuis Avril [anglais] ! Sur les 31 failles dont Oracle avait connaissance seules 2 ont été corrigées par la mise à jour tri-annuelle de Juin. Et parmi les 29 restantes on retrouve celles qui sont aujourd’hui exploitées dans la nature et qui compromettent les millions d’ordinateurs personnels où Java 1.7 est installé.
Le meilleur c’est qu’Oracle se limite strictement à une mise à jour tous les 4 mois donc ces failles ne seront pas corrigées avant Octobre alors qu’ils ont certainement déjà les patchs pour les corriger. Je vous raconte pas les dégâts que ça va faire chez le “grand public” qui ne suit absolument pas les actualités de sécurité informatique…
Encore une fois, bravo Oracle. 
Concernant l’attaque elle-même (ce n’est pas le sujet de mon message, mais ça mange pas de pain d’en parler) la seule protection est de désactiver le plugin Java dans le navigateur, ou de le bloquer à l’aide de NoScript et consorts (et de ne jamais débloquer NoScript sur un site inconnu, étant donné que l’attaque est totalement silencieuse).
Heureusement ceux qui utilisent encore Java 1.6 (Squeeze) n’ont pas de souci à se faire concernant ce problème (même s’il y a certainement des failles différentes).
