Lire la suite sur PC INpactRécemment, ceux qui ont installé Java sur Windows ont reçu une notification pour procéder à une mise à jour. Cette dernière n’était pas anodine : elle corrigeait pas moins de 27 vulnérabilités. Malheureusement, une nouvelle faille vient d’être mise à jour, et elle est de type 0-day.
Cette nouvelle brèche est donc déjà exploitée au moment de sa publication. Elle concerne Java 6 Update 19, c’est-à-dire la dernière version, ainsi que toutes les moutures depuis l’Update 10. La faille se trouve précisément dans le Java Deployment Toolkit qui s’intègre sous forme de plug-in dans les navigateurs. Ainsi, pour Internet Explorer, il se présente sous forme d’un contrôle ActiveX, et pour les autres comme un plug-in NPAPI.
Si un utilisateur malveillant arrive à faire aller un utilisateur sur un site web malveillant prévu à cet effet, un code arbitraire pourra alors s’exécuter. En fait, javaw.exe récupèrera un fichier JAR, bien évidemment ciselé pour l’occasion, et ne verra pas le mal à faire ce qu'on lui demande.
Solution de contournement :
- Pour tous les navigateurs dont la gestion des plug-ins le permet, désactiver le Java Deployment Toolkit
- Dans Internet Explorer, il faut carrément placer un bit d’arrêt de classe ID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA pour l’ActiveX, comme indiqué dans cette fiche Microsoft : Comment faire pour empêcher l'exécution d'un contrôle ActiveX dans Internet Explorer
