Oracle a publié mardi un nouveau patch pour la machine virtuelle Java. Petit détail insolite : il corrige un bug qui avait été signalé à Sun pour la première fois en 2001, soit il y a près de dix ans.
Étant données les conditions nécessaires pour que ce bug se produise, il devait survenir très rarement, ce qui explique probablement le manque de réactivité de Sun puis Oracle sur ce point. En effet, ce bug survient lors d'une tentative de conversion de la chaîne 2.2250738585072012e-308 vers un flottant double précision.
Bien que d'occurrence rare, ce bug peut être lourd de conséquences, puisqu'il provoque une boucle infinie dans la machine virtuelle Java, et donc un plantage de celle-ci. Il offre donc un moyen d'attaque contre les serveurs web exploitant des applications Java.
Ce bug n'est par ailleurs pas spécifique à Java. PHP souffrait en effet du même problème, avec la même valeur. Pour ceux que ça intéresse, Explorint Binary explique en détail les raisons pour lesquelles cette valeur peut poser problème, en s'appuyant sur l'exemple du bug de PHP.