Après un moment de répit, Java revient au-devant de la scène pour ses failles de sécurité.La vulnérabilité concerne une fois de plus « l’API Reflector », intégrée dans Java et qui est source depuis plusieurs années des failles de sécurité critiques de la plateforme de développement.
Elle a été découverte par le cabinet de sécurité polonais Security Exploration, qui a confirmé que le code d’exploit fonctionne sur Java 7 SE et toutes les versions antérieures.
Selon Adam Gowdiak, PDG de l’entreprise, la faille peut permettre à des pirates de mettre en œuvre des attaques classiques connues depuis au moins 10 ans.
Comme il est de coutume, la vulnérabilité permet de contourner la sécurité du Sanbox (bac à sable) Java et d’exécuter du code de façon arbitraire.
Adam Gowdiak a une fois de plus critiqué la mise en œuvre de l’API Reflector, arguant que la fonction ne semble pas avoir été soumise à un examen de sécurité complet.
Plus qu’à espérer qu’Oracle, qui s’est engagé à corriger et communiquer sur les failles de Java, réagira rapidement afin de protéger les utilisateurs des attaques des pirates.
Oracle a été informé sur cette faille et le code d’exploit de celle-ci a été transmis à la firme par Security Explorations.
Source : Full Disclosure
Et vous ?
Que pensez-vous de la récurrence des failles dans Java ? L’aspect sécurité a-t-il été sacrifié lors du développement de la plateforme ? 
Envoyé par CapFlow
