Nouvelle révélation dans l'affaire des failles Java. PC World révèle qu'Oracle avait été mis au courant de l'existence de plusieurs vulnérabilités dans Java il y a plus de 4 mois.

Le 2 avril dernier, la société Security Explorations basée en Pologne avait soumis un rapport à Oracle, qui précisait l'existence de failles dans Java 7 et donnant même un PoC pour guider Oracle vers un patch correctif. Oracle dans sa mise à jour de juin n'a pourtant pas comblé ces brèches puisqu'il demeure toujours des failles critiques qui permettent de prendre le contrôle à distance d'une machine infectée.

Néanmoins on peut s'interroger sur la pertinence de la société FireEye qui a révélé publiquement la faille 0-day. En effet, l'attention de la toile a été braquée sur cette faille et les événements se sont précipités. Désormais elle fait partie de plusieurs exploit kit comme le très utilisé blackhole et même certains moins connus tels que Sakura et Sweet orange.

On retrouve le débat sur le bien fondé de la divulgation ou non de failles critiques de ce genre. D'un côté certains pensent comme Eugene Kaspersky, fondateur de l'éditeur éponyme, qu'il peut être irresponsable de divulguer publiquement des informations et des moyens d'utiliser ces failles critiques. Alors que d'autres soutiennent que ce n'est que comme ça que l'on oblige les éditeurs à patcher rapidement leur dernière version de Java.

Quoi qu'il en soit, Oracle dont la politique est de ne sortir qu'un seul patch avec de nombreux correctifs tous les 4 mois commencent a être sérieusement bousculé par toutes ces annonces et cette fois est supposé sortir une mise à jour avant son patch traditionnel de mi-octobre.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 145505
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI

Réduire