Des chercheurs de l'entreprise de sécurité polonaise Security Explorations affirment avoir identifié deux nouvelles vulnérabilités dans l'Update 11 de Java 7 livré en urgence le 13 janvier dernier par Oracle. Il s'agissait de contrer un exploit zero-day mis à profit par les cybercriminels pour infecter les ordinateurs avec des logiciels malveillants. Selon les chercheurs de Security Explorations, les deux vulnérabilités découvertes sont susceptibles d'être exploitées pour contourner la sandbox du logiciel et exécuter du code arbitraire sur les ordinateurs.

Dans un message envoyé vendredi à la liste de diffusion Full Disclosure, Adam Gowdiak, le fondateur de Security Explorations a confirmé que « le contournement de la sandbox était toujours possible sous Java 7 Update 11 (JRE Version 1.7.0_11-b21) en exploitant deux nouvelles vulnérabilités découvertes par les chercheurs de l'entreprise de sécurité ». Oracle a été informé dès vendredi de l'existence de ces vulnérabilités. « Security Explorations a fourni à l'éditeur le code fonctionnel proof-of-concept », a précisé le fondateur de l'entreprise polonaise. Celui-ci a ajouté que, « conformément à la politique de Security Explorations, les détails techniques sur les vulnérabilités ne seront pas divulgués tant que le fournisseur n'aura pas livré de correctif ».

Deux nouvelles vulnérabilités dans Java 7 u11 

Des chercheurs de l'entreprise de sécurité Immunity, qui avaient analysé l'exploit utilisé depuis la semaine dernière par les cybercriminels, ont indiqué que celui-ci s'appuyait également sur deux autres vulnérabilités pour échapper à la sandbox de Java. Par la suite, ces mêmes chercheurs ont déclaré que l'Update 11 de Java 7 ne corrigeait qu'une de ces deux vulnérabilités et ont prévenu que si les attaquants trouvaient une autre vulnérabilité, ils pourraient créer un nouvel exploit. Mais « les vulnérabilités découvertes par Security Explorations sont différentes de celles qu'Oracle a omis de corriger dans son dernier patch », a encore déclaré Adam Gowdiak par courriel vendredi.

Certains chercheurs en sécurité, dont ceux de l'US Computer Emergency Readiness Team (US-CERT), estiment que des attaques similaires pourraient encore avoir lieu et conseillent toujours aux utilisateurs de désactiver le plug-in Java dans leur navigateur malgré la disponibilité de l'Update 11 de Java 7. « La qualité du code de Java SE 7 est vraiment une source d'inquiétude », a déclaré Adam Gowdiak. «  On se demande si Java bénéficie d'un véritable programme de développement sécurisé ou si d'autres problèmes internes à Oracle sont à l'origine de ces déficiences », a-t-il ajouté.

« Cela dit, le fait que l'Update 11 de Java 7 demande confirmation à l'utilisateur avant d'autoriser l'exécution des applets Java dans les navigateurs va certainement dans la bonne direction et pourrait contribuer à bloquer de nombreuses attaques », a conclu Adam Gowdiak.