Il a dû y avoir un alignement planétaire rare hier, car la chose la plus étrange s’est produite : Pomme et Oracle les deux mises à jour logicielles livrées pour le même Java failles de sécurité le jour même.
J’ai plusieurs fois pris Apple à partie pour son inacceptable retards dans la correction des vulnérabilités Java. Oracle est le producteur officiel de Java, mais Apple maintient sa propre version, et il a toujours été en retard de plusieurs mois sur Oracle dans la correction des bogues de sécurité. Cet échec de la part d’Apple a finalement rattrapé les utilisateurs de Mac OS X plus tôt cette année et s’est transformé en un embarras majeur pour Apple, lorsque le logiciel malveillant Flashback a infecté plus de 650 000 systèmes Mac en utilisant une vulnérabilité qu’Oracle (mais pas Apple) avait corrigée environ deux mois. plus tôt.
Eh bien, il semble qu’Apple ait appris une chose ou deux de cet incident. La mise à jour Oracle publiée hier, Java 6 mise à jour 33 et Java 7 mise à jour 5corrige au moins 14 failles de sécurité dans le logiciel souvent attaqué qui est installé sur plus de trois milliards d’appareils dans le monde. La mise à jour Java d’Apple apporte Java sur Mac à 1.6.0_33, et corrige 11 des 14 vulnérabilités de sécurité corrigées par Oracle dans la version de mardi. Il n’est pas clair si ces trois autres défauts n’existent tout simplement pas dans la version Mac de Java, mais nous progresserons là où nous pourrons l’obtenir.
Quel que soit le système d’exploitation que vous utilisez, si Java est installé, je vous conseille de le mettre à jour, de le neutraliser ou de le supprimer dès que possible. La raison pour laquelle je dis cela est que Java nécessite des correctifs constants et qu’il semble être la cible préférée des attaquants de nos jours.
Les utilisateurs de Windows peuvent savoir s’ils ont installé Java et quelle version en visitant java.com et en cliquant sur « Do I have Java? lien. Les utilisateurs de Mac peuvent utiliser la fonction de mise à jour logicielle pour vérifier les mises à jour Java disponibles.
Si vous utilisez Java principalement parce qu’un site Web ou un programme se trouve sur votre système, tel que Bureau ouvert ou Esprit libre – l’exige, vous pouvez toujours réduire considérablement le risque d’attaques Java simplement en désactivant le plug-in dans votre navigateur Web. Dans ce cas, je suggérerais une approche à deux navigateurs. Si vous naviguez normalement sur le Web avec Firefoxpar exemple, envisagez de désactiver le plug-in Java dans Firefox (dans le menu Modules complémentaires, cliquez sur Plugins, puis désactivez tout ce qui concerne Java et redémarrez le navigateur), puis utilisez un autre navigateur (Chrome, IE9, Safarietc.) avec Java activé pour parcourir uniquement le site qui en a besoin.
Apple a cessé de regrouper Java par défaut dans OS X 10.7 (Lion), il propose des instructions pour télécharger et installer le cadre logiciel lorsque les utilisateurs accèdent à des pages Web qui l’utilisent. La dernière itération de Java pour OS X configure le plug-in de navigateur Java et Java Web Start pour qu’ils soient désactivés s’ils restent inutilisés pendant 35 jours.