Java : une nouvelle faille zero-day est vendue au marché noir

Un cybercriminel a proposé, pour 5 000 dollars, un kit qui exploiterait une nouvelle vulnérabilité zero-day dans Java.

Oracle vient à peine de corriger la toute récente faille zero-day dans Java, qu’une autre fait déjà son apparition. Le site KrebsOnSecurity a repéré, sur un forum, le message d’un cybercriminel qui explique que « Java a de nouveau failli » car il y a « une autre vulnérabilité dans la dernière version de Java 7 ». Et d’ailleurs, il propose un kit logiciel permettant de l’exploiter. « Cette faille n’est couverte par aucun autre pack d’exploitation connu », précise le hacker pour vanter son « produit ». Le kit est vendu pour 5 000 dollars, mais  sera limité à deux acheteurs. Et apparemment, il aurait déjà trouvé preneur car, selon KrebsOnSecurity, le message a déjà disparu du forum en question.

Aucun patch n’est disponible à ce jour pour cette nouvelle faille, dont on ne sait pas grand-chose pour l’instant. La seule recommandation que l’on peut donner est donc de désactiver Java, un conseil que les experts en sécurité continuaient à donner même après le correctif de la précédente faille, qui  n’avait pas franchement convaincu car jugé incomplet. Depuis, les critiques à l’encontre d’Oracle n’arrêtent pas de fuser : l’éditeur ne serait pas assez minutieux dans la gestion des failles de Java, et prendrait trop de temps à réagir.

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !