Signalée à Oracle par les chercheurs en sécurité de Trend Micro, la vulnérabilité Java qui avait ciblé début 2015 plusieurs institutions militaires et gouvernementales des pays de l’OTAN est à présent corrigée. Cette dernière pouvait être exploitée sans confirmation demandée à l’utilisateur avant l’exécution d’une application Java Web par le plug-in Java du navigateur. Ce mécanisme de protection est communément appelé « click-to-play » ou « cliquez pour lancer la lecture ».

Les chercheurs de Trend Micro avaient repéré la vulnérabilité au mois de juillet dernier dans des attaques lancées par un groupe de hackers russes surnommé Pawn Storm, connu pour cibler des institutions militaires et gouvernementales de pays membres de l'OTAN. La vulnérabilité, qui porte la référence CVE-2015-4902, a été utilisée par Pawn Storm pour faciliter l'exécution d'une application Java malveillante sans interaction de l'utilisateur. En effet, après avoir contourné le mécanisme « click-to-play », le malware exploitait une autre vulnérabilité, non corrigée à l’époque, pour installer des logiciels malveillants sur les ordinateurs cibles. En juillet, Oracle a corrigé cette seconde faille identifiée sous la référence CVE-2015-2590, mais l’éditeur avait laissé de côté la faille de contournement pour inclure le correctif dans la mise à jour de sécurité trimestrielle livrée hier.

Une attaque combinée qui peut faire des dégâts

En soi, cette vulnérabilité ne peut pas faire beaucoup de dégâts. Mais combinée à un code d'exécution, elle peut servir à mener des attaques furtives dites « drive-by » : en cliquant simplement sur un lien malveillant, l’ordinateur de l’utilisateur peut être compromis. C’est la raison pour laquelle il est très important de mettre à jour Java dès que possible avec la dernière version disponible. « Cet exemple montre à quel point il est important de s’assurer que, lorsque de nouvelles fonctionnalités de sécurité (comme le « click-to-play ») sont ajoutées à un système aussi complexe que Java, il est indispensable de vérifier que ces fonctionnalités sont actives sur les composants existants », ont déclaré les chercheurs de Trend Micro dans un blog où ils expliquent en détail comment une fonction Java existante a permis le contournement de sécurité.

Mise à part la correction de cette vulnérabilité, la nouvelle mise à jour de Java comble 24 autres failles de sécurité, dont la plupart pouvaient être exploitées à distance sans authentification. Les administrateurs système et réseau seront sans doute intéressés par les autres correctifs livrés par Oracle mardi pour sa base de données Oracle, Oracle Fusion Middleware, Oracle Hyperion, Oracle Enterprise Manager, Oracle E-Business Suite, Oracle Supply Chain Products Suite, Oracle PeopleSoft Enterprise, Oracle Siebel CRM, Oracle Industry Applications, dont Oracle Communications Applications et Oracle Retail Applications, Oracle Sun Systems Products Suite, Oracle Pillar Axiom, Oracle Linux & Virtualisation, et Oracle MySQL.