Résumé : Des chercheurs d’une société polonaise auraient découvert une nouvelle vulnérabilité critique et exploitable au niveau de l’API Reflection qui a été introduite dans Java 7 et qui a déjà été à l’origne de nombreuses autres vulnérabilités divulguées par le passé.
Travaillant pour la société polonaise Security Explorations, des chercheurs en sécurité clame avoir identifié une nouvelle vulnérabilité au sein de Java 7. L’exploitation de cette dernière pouvant autoriser un attaquant à contourner la sécurité par « sandbox » de cette version et d’exécuter ainsi du code arbitraire au niveau du système d’exploitation sous-jacent.
D’après Adam Gowdiak, fondateur de Security Explorations, les détails de cette vulnérabilité ont déjà été envoyés récemment à Oracle, au même titre qu’une preuve de concept en démontrant son exploitabilité. Elle se situerait plus précisément dans l’API Reflection, une fonctionnalité introduite dans Java 7 et déjà à l’origine de nombreuses autres vulnérabilités.
A savoir que le code d’exploitation est censé être fonctionnel à l’encontre de la mise à jour 25 de Java 27 et également sur toutes les versions précédentes de Java 7. L’exploitation de cette vulnérabilité permettant de mettre en place un type classique d’attaques, affectant la machine virtuelle Java, qui est connu depuis au moins une dizaine d’année d’après Adam Gowdiak.
Ce dernier ajoutant qu’il est pour lui tout à fait surprenant que les protections contre ce genre d’attaques n’aient pas été implémentées dès lors que l’API Reflection a commencée à être développée en vue d’être intégrée au niveau de Java 7. Cette découverte remettant par ailleurs en cause pour lui la politique globale d’Oracle en ce qui concerne l’audit de ses propres codes.
Source :
« New vulnerability found in Java 7 opens door to 10-year-old attack, researchers say » sur « Network World on Security » (
lien )
