[PATCH][ORACLE] Accès au système via une vulnérabilité au sein de Java SE

Comme chaque semaine, le CERT-XMCO vous propose une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur la sortie en urgence d’un correctif affectant Java SE.

24 mars 2016

Oracle Security Alert for CVE-2016-0636

Criticité
Élevée
Dommage(s)
Vol d’informations
Accès au système
Déni de service
Plateforme(s)
Windows
Mac OS X
Linux
Solaris
Exploitation
Avec une page web malveillante
Produit(s) concerné(s)
Java
Description
Une vulnérabilité a été corrigée au sein de la machine virtuelle Java. Son exploitation permettait à un attaquant de provoquer un déni de service, d’accéder à des informations sensibles, voire de prendre le contrôle d’un système.

La faille de sécurité référencée CVE-2016-0636 provenait d’une erreur non spécifiée au sein du sous-composant « Hotspot ». En incitant un internaute à visiter une page web malveillante, un attaquant était en mesure de provoquer des dommages allant jusqu’à l’exécution de commande arbitraire sur le système distant.

Aucune information supplémentaire n’est actuellement disponible.

Vulnérable(s)
* Java SE 7 < Update 97
* Java SE 8 < Update 73 et 74
Non vulnérable(s)
* Java SE 8u77
Recommandation
Le CERT-XMCO recommande l’installation du correctif disponible sur le site de l’éditeur à l’adresse suivante :
https://support.oracle.com/rs?type=doc&id=2118304.1
Référence(s)
https://blogs.oracle.com/security/entry/security_alert_cve_2016_0636
http://www.oracle.com/technetwork/topics/security/alert-cve-2016-0636-2949497.html

Référence(s) CVE
CVE-2016-0636

Référence CERT-XMCO
CXA-2016-0933

Adrien Guinault

Découvrir d'autres articles