Une nouvelle vulnérabilité de Java activement exploitée

29 août 2012

Une nouvelle vulnérabilité de Java, non corrigée à ce jour, a été signalée par Intego et référencée par le CVE (Common Vulnerabilities & Exposures) le 29 août 2012. Elle permet l'installation d'un Cheval de Troie (Poison Ivy Remote Access, par exemple) et l'exécution de code à distance.

Bien que cette faille n'ait pour l'instant été exploitée que sous Windows, elle peut techniquement l'être sous d'autres systèmes d'exploitation, dont Mac OS X et le sera donc probablement. La prudence est donc de rigueur pour que cette exploitation éventuelle ne prenne pas les proportions de Flashback, qui profitait également d'une faille de Java.

La version de Java concernée en premier lieu est la v. 7, mais il n'est pas exclu que d'autres versions le soient également.

[Mise à jour du 02/09/2012] : cela n'était tellement pas exclu, que la version 6 a également été mise à jour depuis…

Pour connaître la version de Java éventuellement installée sur votre Mac, deux possibilités :

• Lancez /Applications/Utilitaires/Terminal et tapez java -version
• Lancez /Applications/Utilitaires/Préférences Java

Qu'un correctif soit apporté à Java rapidement ou non, nous vous recommandons vivement de vous reporter à notre article “Avez-vous besoin de Java sur votre Mac” : Java est une application à risque, fréquemment utilisée par les cyber-criminels. C'est précisément pour cela qu'il n'est plus installé par défaut sous Mac OS X 10.7 (Lion) et 10.8 (Mountain Lion).

Mais vous pouvez l'avoir installé et ne plus vous en souvenir, ou en avoir besoin occasionnellement. Toutes les informations nécessaires pour désactiver Java au niveau système sont disponibles dans l'article cité ci-dessus. Si vous préférez le désactiver seulement dans votre navigateur principal, vous pouvez vous rendre directement sur cette page.

Enfin, si vous n'avez toujours pas installé d'antivirus sur votre Mac, reportez-vous à cette section.