Une nouvelle faille 0-day vient d’être découverte hier dans le logiciel Java. Toutes les versions de Java sont affectées.


Une faille extrêmement critique qui n’est pas encore corrigée. Et qui permet à une personne mal intentionnée de prendre le contrôle total de l’ordinateur d’une victime.

En effet, lorsque vous visitez une site infecté, cette faille autoriserait l’installation d’un code arbitraire avec l’aide d’un Applet Java intégré dans une page Web par exemple.

L’exploit est à présent intégré dans le framework Metasploit, le rendant disponible pour des tests internes. Les autres kits de piratage, en plus de Blackhole, qui intègrent cet exploit sont Nuclear et RedKit

Le créateur de Blackhole, qui utilise le surnom de « panse », a annoncé hier sur plusieurs forums que la faille Java zero-day était «un cadeau du Nouvel An » aux clients qui utilisent son kit d’exploit.

Voici une vidéo qui montre comment exploiter la faille 0-day java avec Metasploit sous Windows 8 :

Puisqu’il n’y a pas de patch disponible, je vous recommande de désactiver le plugin Java sur votre navigateur.