OpenJDK et IcedTea sont bien affectés aussi (confirmé hier soir): http://www.us-cert.gov/cas/techalerts/TA13-010A.html mais pas le JDK et le JRE distribués par IBM.
Si Oracle dit que la version 6 n'est pas affectée, c'est parce qu'une nouvelle méthode du JRE 7 ajoutant un flag booléen permissif n'y était pas présente dans la version précédente, mais il y a d'autres chemins possibles sans cette méthode (les autres JRE/JDK peuvent avoir aussi leur propre code pour implémenter Reflexion et le classloader, cette méthode n'était pas partie de l'API officielle mais fait partie de la "cuisine interne" du JRE : tout dépend des autorisations d'appels des APIs qu'ils laissent passer ou pas avec un certificat non signé ou auto-signé). C'est cette nouvelle méthode qui a été utilisée lors de la première attaque "zero-day" détectée dès les premiers jours de janvier.
_______________________________________________ Talk-fr mailing list Talk-fr@openstreetmap.org http://lists.openstreetmap.org/listinfo/talk-fr
