[ad_1]

Oracle Corp. a publié une mise à jour pour son Java SE un logiciel qui comble au moins 50 failles de sécurité dans le logiciel, dont une qui, selon la société, était activement exploitée dans la nature.

icône javaLa mise à jour originale du correctif critique pour Java SE – février 2013 devait être publiée le 19 février, mais Oracle a déclaré avoir décidé d’accélérer la publication de cette mise à jour en raison de l’exploitation active dans la nature de l’une des vulnérabilités.

« En raison de la menace posée par une attaque réussie, Oracle recommande fortement aux clients d’appliquer… les correctifs dès que possible », a écrit la société dans un avis.

Je n’ai pas pu trouver de compte rendu définitif de la vulnérabilité zero-day de Java qui avait poussé Oracle à accélérer son calendrier de correctifs, mais récemment, des chercheurs ont découvert des failles dans un mécanisme fourni par la société avec la version précédente de Java conçue pour contrecarrer attaques contre le programme. Avec Java 7 Update 10, Oracle a introduit un mécanisme qui obligerait les utilisateurs à autoriser manuellement l’exécution de code Java non signé numériquement par une autorité de confiance. Quelques experts en sécurité a fait l’éloge d’Oracle pour avoir ajouté la fonctionnalité car elle promettait de réduire considérablement le succès des attaques exploitant les bogues de sécurité de Java, mais les chercheurs ont montré que la nouvelle fonctionnalité peut être facilement contournée.

Les dernières versions — Java 7 mise à jour 13 et Java 6 à la mise à jour 39 — sont disponibles soit via le programme de mise à jour intégré à Java (accessible depuis le panneau de configuration de Windows), soit en visitant Java.com. Si vous n’êtes pas sûr de la version que vous avez ou si vous avez installé le programme, cliquez sur le lien « Ai-je Java » sous le bouton de téléchargement rouge sur le Java.com page d’accueil.

La plupart des utilisateurs finaux qui ont Java sur leurs systèmes n’en ont probablement pas besoin et peuvent le supprimer en toute sécurité (ce conseil n’est pas adapté aux utilisateurs de systèmes d’entreprise, qui peuvent avoir des applications spécifiques qui reposent sur Java). Il s’agit d’un programme bogué qui semble produire un flux fiable d’opportunités d’exploit zero-day pour les auteurs de logiciels malveillants. Donc, si vous n’en avez pas besoin, jetez-le.

Si vous en avez besoin, débranchez-le du navigateur à moins que et jusqu’à ce que vous en ayez besoin. A partir de Java 7 Update 10, il est possible de désactiver le contenu Java dans les navigateurs Web via l’applet du panneau de configuration Java. Vous pouvez également envisager une approche à double navigateur, en débranchant Java du navigateur que vous utilisez pour la navigation quotidienne et en le laissant branché sur un deuxième navigateur que vous n’utilisez que pour les sites nécessitant Java.

Apple a pris des mesures pour bloquer Java sur les systèmes OS X lorsque de nouvelles vulnérabilités non corrigées ont été détectées. Selon MacRumeurspour la deuxième fois en un mois, Apple blacklisté la version actuelle du plugin Java Web sur OS X, en utilisant le système anti-malware « Xprotect » intégré à OS X pour appliquer un numéro de version minimum qui n’avait pas encore été publié. Cependant, 9to5Mac.com écrit maintenant que Java 7 mise à jour 13 pour Mac OS X apporte Java sur le Mac au numéro de version correct appliqué par Xprotect, ce qui signifie que les utilisateurs de Mac qui ont besoin de Java peuvent l’utiliser à nouveau sans avoir à jouer avec Solutions de contournement de la ligne de commande du terminal.

Il s’agit du dernier ensemble de mises à jour pour Java 6 – Oracle le supprime progressivement et a déjà pris des mesures pour commencer migration des utilisateurs Java 6 vers Java 7. Dans l’ensemble, c’est probablement une bonne chose. Laurent Garvinle « head geek » autoproclamé de la société de gestion et de surveillance de réseau basée à Austin, au Texas Vents solairesa déclaré que si l’attention des médias sur les problèmes de sécurité de Java 7 peut influencer la décision de certaines organisations de retarder la mise à niveau de leurs installations Java 6, seuls 18 des problèmes de sécurité identifiés depuis la sortie de Java 7 sont propres à Java 7.

« Sur les 84 vulnérabilités identifiées depuis la sortie de Java 7, nous avons constaté que 66 d’entre elles existaient dans Java 6, tandis que 40 existaient dans Java 5 », a déclaré Garvin. « La couverture médiatique autour des problèmes de sécurité de Java 7 peut inciter certaines organisations à ne pas mettre à niveau leurs installations Java 6 vers Java 7, pensant que Java 7 est défectueux, alors qu’en fait tout le cœur de la plate-forme Java présente des vulnérabilités. Oracle a annoncé qu’aucune nouvelle mise à jour ne sera publiée pour Java 6 après février 2013, de sorte que toute vulnérabilité supplémentaire découverte dans Java 7 – et également existant dans Java 6 – ne sera jamais corrigée.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *