Le chercheur de Security Explorations, Adam Gowdiak, a publié vendredi un message dans lequel il déclarait que son équipe avait découvert non pas une, pas deux, mais trois failles de sécurité dans la dernière version de Java..

Selon Gowdiak, l'un des risques de sécurité se manifeste par le même problème pour lequel Oracle a récemment publié le correctif d'urgence Java 7 Update 11.

Cette vulnérabilité permet à des pirates intelligents d'obtenir un "contournement complet du sandbox de sécurité Java", un problème persistant qui a incité le Department of Homeland Security américain à recommander de désactiver temporairement le logiciel..

Security Explorations a également découvert deux nouvelles failles de sécurité dans la "version récente du code Java SE7", qu’elle a soumises à Oracle pour révision et, espérons-le, à un correctif..

Confitures Java

Les chercheurs de Security Explorations ont cité le groupe exploitant Immunity comme l'une de leurs sources pour découvrir la partie encore vulnérable du code Java après la publication du correctif..

Un rapide survol des résultats d'Immunity montre que la faille restante est basée sur la signature d'une applet Java et qu'elle n'est pas présente dans Java 6, ce qui a été confirmé par Oracle..

En raison de l'invite ajoutée par Java 7 Update 11, une partie du trou de sécurité initial a été comblée et les applets non signés ne peuvent plus accéder par cette méthode..

  • Télécharger Java Runtime Environment 7

Cependant, si les nouveaux trous découverts par Gowdiak et son équipe constituent des menaces légitimes, il peut être judicieux de laisser Java désactivé pour les navigateurs jusqu'à ce que Oracle réponde avec un autre correctif plus complet..

Via PCWorld