Une faille majeure présente dans toutes les versions de Java, installées sur plus d'un milliard d'ordinateurs dans le monde, a été découverte. Oracle dit travailler sur un correctif qui devrait être disponible, avec chance, avant que les détails techniques permettant d'exploiter la faille ne soient rendus publics.

Décidément, Java n'est pas à la fête. Au mois d'août, Oracle avait dû avancer son planning de publication des mises à jour pour diffuser en urgence un patch de Java 7, après la découverte d'une faille permettant de prendre à distance le contrôle de l'ordinateur. Le problème avait encouragé de nombreux éditeurs de solutions de sécurité à conseiller la désactivation de Java sur les navigateurs web.

Or voilà qu'à peine un mois plus tard, rebelote. Un expert en sécurité a révélé sur la fameuse mailing-list Full Disclosure l'existence d'une nouvelle faille qui concerne toutes les versions de Java 5, Java 6 et Java 7, que ce soit sous Mac ou Windows. Tous les ordinateurs Apple équipés de Mac OS 10.6 (Snow Leopard) ou inférieurs sont concernés même lorsqu'ils n'ont pas installé manuellement Java, puisqu'il était installé d'office avec les anciennes versions du système d'exploitation de la firme de Cupertino.

Même la toute dernière version officieuse Java 7 Update 10, publiée le 20 septembre 2012, est concernée par la faille.

Au total, selon les propres données d'Oracle, ce sont 1,1 milliard d'ordinateurs qui sont actuellement vulnérables. Cependant Adam Gowdiak, qui a révélé la faille au nom de son organisation Security Explorations, estime que le risque est pour le moment moins critique qu'avec la précédente alerte, puisqu'aucun détail n'a cette fois été révélé qui permettraient à des personnes mal intentionnées de l'exploiter. "L'impact du problème est critique", assure-t-il toutefois, en expliquant qu'il a pu contourner toutes les sécurités mises en place dans Java.

"Le bug permet de violer une contrainte de sécurité fondamentale de la Machine Virtuelle Java", se contente d'écrire Gowdiak, qui aurait découvert la faille la semaine dernière. Il indique avoir fourni mardi à Oracle toutes les données relatives à la faille, y compris le code source d'une implémentation de l'exploit. 

Interrogé par ComputerWorld, Gawdiak indique qu'Oracle a confirmé l'existence de la faille, qui sera corrigée lors d'une prochaine mise à jour de sécurité, sans plus de précision.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.