Pc-urgence Oracle corrige la vulnérabilité Java qui a ciblé l'OTAN - Pc-urgence

Oracle corrige la vulnérabilité Java qui a ciblé l'OTAN

Combinée à un code d'exécution, la vulnérabilité Java découverte par les chercheurs de Trend Micro peut servir à mener des attaques furtives dites « drive-by ». (crédit : D.R.)

Combinée à un code d’exécution, la vulnérabilité Java découverte par les chercheurs de Trend Micro peut servir à mener des attaques furtives dites « drive-by ». (crédit : D.R.)

La vulnérabilité Java qui avait permis à un groupe de cyberespions russes de mener en début d’année plusieurs attaques furtives contre des institutions militaires et gouvernementales de plusieurs pays membres de l’OTAN a été corrigée. Oracle en profite pour patcher 153 autres failles de sécurité Java mais présentes aussi dans d’autres de ses produits dont sa base de données et MySQL.

Signalée à Oracle par les chercheurs en sécurité de Trend Micro, la vulnérabilité Java qui avait ciblé début 2015 plusieurs institutions militaires et gouvernementales des pays de l’OTAN est à présent corrigée. Cette dernière pouvait être exploitée sans confirmation demandée à l’utilisateur avant l’exécution d’une application Java Web par le plug-in Java du navigateur. Ce mécanisme de protection est communément appelé « click-to-play » ou « cliquez pour lancer la lecture ».

Les chercheurs de Trend Micro avaient repéré la vulnérabilité au mois de juillet dernier dans des attaques lancées par un groupe de hackers russes surnommé Pawn Storm, connu pour cibler des institutions militaires et gouvernementales de pays membres de l’OTAN. La vulnérabilité, qui porte la référence CVE-2015-4902, a été utilisée par Pawn Storm pour faciliter l’exécution d’une application Java malveillante sans interaction de l’utilisateur. En effet, après avoir contourné le mécanisme « click-to-play », le malware exploitait une autre vulnérabilité, non corrigée à l’époque, pour installer des logiciels malveillants sur les ordinateurs cibles. En juillet, Oracle a corrigé cette seconde faille identifiée sous la référence CVE-2015-2590, mais l’éditeur avait laissé de côté la faille de contournement pour inclure le correctif dans la mise à jour de sécurité trimestrielle livrée hier.

En soi, cette vulnérabilité ne peut pas faire beaucoup de dégâts. Mais combinée à un code d’exécution, elle peut servir à mener des attaques furtives dites « drive-by » : en cliquant simplement sur un lien malveillant, l’ordinateur de l’utilisateur peut être compromis. C’est la raison pour laquelle il est très important de mettre à jour Java dès que possible avec la dernière version disponible. « Cet exemple montre à quel point il est important de s’assurer que, lorsque de nouvelles fonctionnalités de sécurité (comme le « click-to-play ») sont ajoutées à un système aussi complexe que Java, il est indispensable de vérifier que ces fonctionnalités sont actives sur les composants existants », ont déclaré les chercheurs de Trend Micro dans un blog où ils expliquent en détail comment une fonction Java existante a permis le contournement de sécurité.

Mise à part la correction de cette vulnérabilité, la nouvelle mise à jour de Java comble 24 autres failles de sécurité, dont la plupart pouvaient être exploitées à distance sans authentification. Les administrateurs système et réseau seront sans doute intéressés par les autres correctifs livrés par Oracle mardi pour sa base de données Oracle, Oracle Fusion Middleware, Oracle Hyperion, Oracle Enterprise Manager, Oracle E-Business Suite, Oracle Supply Chain Products Suite, Oracle PeopleSoft Enterprise, Oracle Siebel CRM, Oracle Industry Applications, dont Oracle Communications Applications et Oracle Retail Applications, Oracle Sun Systems Products Suite, Oracle Pillar Axiom, Oracle Linux & Virtualisation, et Oracle MySQL.

Powered by PC-Urgence.com

Dépannage informatique à domicile

Dépannage informatique à domicile

PC urgence, le spécialiste du dépannage informatique à domicile sur Paris et Île-de-France, jour et nuit vous bénéficiez d'un dépannage informatique sans aucun surcoût et sans frais de déplacements. Contactez-nous au 09.70.40.81.52.
Protected by Copyscape Web Plagiarism Tool

Laisser un commentaire

Vous devez être connecté pour publier un commentaire.

Dépannage informatique de nuit

Dépannage informatique paris et ile de france
Prix:
166 €

Elu Service de l'année

Prix:
2013

Installation Internet

Prix:
89 €

Assistance à Distance

Prix:
39 €

Dépannage informatique Paris et Ile de france

Dépannage informatique paris et ile de france
Prix:
89 €

Déduction - 50 %

Ouvert 24/24 Week end
border

immédiate
ACCUEIL    |    ACTUALITES    |    internet    |    accessoires et logiciels    |    contact
Claude Arel Retrouvez-nous sur Google+ Google Copyright © 2010-2013 Pc-Urgence