Et deux failles supplémentaires trouvées dans les plug-in Java. La société polonaise Security Exploration a expliqué sur son blog la découverte de ces vulnérabilités, ainsi qu'un test d'attaques. Elles ont été confirmées par Oracle. « Nous avons maintenant un autre regard sur la dernière version de Java SE 7 d'Oracle qui a été publiée le 19 février dernier », souligne Adam Gowdiak, PDG de Security Exploration. Il ajoute, « nous avons découvert deux nouveaux problèmes de sécurité qui, une fois combinés, peuvent être utilisés pour contourner la sandbox intégrée dans la mise à jour 15 de Java SE 7 (1.7.0_15-b03).

Par contre, il est resté évasif pour détailler les deux failles trouvées. Il préfère attendre la mise en place d'un patch par la firme de Redwood. Il a simplement dit que cela devrait permettre à Oracle d'améliorer les API Reflection de Java. « Sans entrer dans les détails, tout indique que la balle est dans le camps d'Oracle. Encore une fois », explique Adam Gowdiak. Les récentes failles n'affectent que Java 7, précise le dirigeant. Java 6, qu'Oracle a mis en retraite, ne contient pas les bugs.

Désactivation des plug-in Java recommandée

A cette annonce et sans surprise, les experts en sécurité recommandent fortement les utilisateurs de désactiver et même de désinstaller Java. « Dans ce cadre, c'est le meilleur conseil que nous pouvons donner actuellement : si vous n'avez pas besoin de Java dans votre navigateur... Désactivez- le maintenant », exhorte Graham Cluley, consultant technologique chez Sophos, sur son blog.

Java est confronté à un nombre croissant de vulnérabilités de type zero-day. Elles sont exploitées par des cybercriminels avant que ces défauts soient corrigés, ni même connus par l'éditeur. Oracle a été obligé de corriger ses logiciels en urgence à deux reprises cette année. Ces vulnérabilités ont déjà fait des victimes y compris parmi les acteurs de l'IT. Facebook, Apple, Microsoft ont été piratés via des failles Java. Cela étonne Adam Gowdiak qui avait prévenu dès avril 2012 des problèmes de sécurité sur Java, « nous n'avons pas été entendu par l'ensemble de la Silicon Valley ».