Une faille majeure présente dans toutes les versions de Java, installées sur plus d'un milliard d'ordinateurs dans le monde, a été découverte. Oracle dit travailler sur un correctif qui devrait être disponible, avec chance, avant que les détails techniques permettant d'exploiter la faille ne soient rendus publics.

Décidément, Java n'est pas à la fête. Au mois d'août, Oracle avait dû avancer son planning de publication des mises à jour pour diffuser en urgence un patch de Java 7, après la découverte d'une faille permettant de prendre à distance le contrôle de l'ordinateur. Le problème avait encouragé de nombreux éditeurs de solutions de sécurité à conseiller la désactivation de Java sur les navigateurs web.

Or voilà qu'à peine un mois plus tard, rebelote. Un expert en sécurité a révélé sur la fameuse mailing-list Full Disclosure l'existence d'une nouvelle faille qui concerne toutes les versions de Java 5, Java 6 et Java 7, que ce soit sous Mac ou Windows. Tous les ordinateurs Apple équipés de Mac OS 10.6 (Snow Leopard) ou inférieurs sont concernés même lorsqu'ils n'ont pas installé manuellement Java, puisqu'il était installé d'office avec les anciennes versions du système d'exploitation de la firme de Cupertino.

Même la toute dernière version officieuse Java 7 Update 10, publiée le 20 septembre 2012, est concernée par la faille.

Au total, selon les propres données d'Oracle, ce sont 1,1 milliard d'ordinateurs qui sont actuellement vulnérables. Cependant Adam Gowdiak, qui a révélé la faille au nom de son organisation Security Explorations, estime que le risque est pour le moment moins critique qu'avec la précédente alerte, puisqu'aucun détail n'a cette fois été révélé qui permettraient à des personnes mal intentionnées de l'exploiter. "L'impact du problème est critique", assure-t-il toutefois, en expliquant qu'il a pu contourner toutes les sécurités mises en place dans Java.

"Le bug permet de violer une contrainte de sécurité fondamentale de la Machine Virtuelle Java", se contente d'écrire Gowdiak, qui aurait découvert la faille la semaine dernière. Il indique avoir fourni mardi à Oracle toutes les données relatives à la faille, y compris le code source d'une implémentation de l'exploit. 

Interrogé par ComputerWorld, Gawdiak indique qu'Oracle a confirmé l'existence de la faille, qui sera corrigée lors d'une prochaine mise à jour de sécurité, sans plus de précision.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !