|
Une nouvelle vulnérabilité critique aurait été découverte dans Java 7
Par Rédaction,
secuobs.com
Le 25/07/2013
Résumé : Des chercheurs d’une société polonaise auraient découvert une nouvelle vulnérabilité critique et exploitable au niveau de l’API Reflection qui a été introduite dans Java 7 et qui a déjà été à l’origne de nombreuses autres vulnérabilités divulguées par le passé. - Lire l'article
Travaillant pour la société polonaise Security Explorations, des chercheurs en sécurité clame avoir identifié une nouvelle vulnérabilité au sein de Java 7. L’exploitation de cette dernière pouvant autoriser un attaquant à contourner la sécurité par « sandbox » de cette version et d’exécuter ainsi du code arbitraire au niveau du système d’exploitation sous-jacent.
D’après Adam Gowdiak, fondateur de Security Explorations, les détails de cette vulnérabilité ont déjà été envoyés récemment à Oracle, au même titre qu’une preuve de concept en démontrant son exploitabilité. Elle se situerait plus précisément dans l’API Reflection, une fonctionnalité introduite dans Java 7 et déjà à l’origine de nombreuses autres vulnérabilités.
A savoir que le code d’exploitation est censé être fonctionnel à l’encontre de la mise à jour 25 de Java 27 et également sur toutes les versions précédentes de Java 7. L’exploitation de cette vulnérabilité permettant de mettre en place un type classique d’attaques, affectant la machine virtuelle Java, qui est connu depuis au moins une dizaine d’année d’après Adam Gowdiak.
Ce dernier ajoutant qu’il est pour lui tout à fait surprenant que les protections contre ce genre d’attaques n’aient pas été implémentées dès lors que l’API Reflection a commencée à être développée en vue d’être intégrée au niveau de Java 7. Cette découverte remettant par ailleurs en cause pour lui la politique globale d’Oracle en ce qui concerne l’audit de ses propres codes.
Source :
« New vulnerability found in Java 7 opens door to 10-year-old attack, researchers say » sur « Network World on Security » ( lien )
- Article suivant : Crypton, une solution Open Source démocratisant le chiffrement applicatif
- Article précédent : Les problèmes de sécurité des cartes SIM peuvent être facilement corrigés
- Article suivant dans la catégorie Failles : Prendre le contrôle d'une voiture avec une manette de jeu, c'est possible
- Article précédent dans la catégorie Failles : Les problèmes de sécurité des cartes SIM peuvent être facilement corrigés
Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
Mini-Tagwall de l'annuaire video : | | | | curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|