Oracle a publié une mise à jour de sécurité critique qui corrige au moins 51 vulnérabilités de sécurité dans son Java Logiciel. Des patchs sont disponibles pour Linux, Mac OS X, Solaris et les fenêtres versions du logiciel.
Cette mise à jour apporte Java 7 à la mise à jour 45, et corrige tout un tas de failles de sécurité. Oracle indique que toutes les 51 vulnérabilités corrigées dans cette mise à jour sauf une peuvent être exploitables à distance sans authentification.
Les mises à jour sont disponibles sur Java.com et le Panneau de configuration Java. Apple a a publié une mise à jour à sa version prise en charge de Java, qui amène Java sur Mac à 1.6.0_65 pour OS X 10.6.8 ou version ultérieure. Comme CNet notes, Apple utilise cette mise à jour pour encourager davantage les utilisateurs à passer au runtime Java d’Oracle, en particulier pour les services Java basés sur le Web.
« Lorsque cette dernière mise à jour est installée, selon Documentation d’Apple cela supprimera le plug-in Java fourni par Apple et entraînera une section « Plug-in manquant » d’une page Web qui tente d’exécuter une applet Java », Topher Kessler de CNet écrit. « Si vous cliquez sur le message de plug-in manquant, le système vous dirigera vers le site Web Java d’Oracle afin que vous puissiez télécharger la dernière version de Java 7, qui non seulement prendra en charge les dernières fonctionnalités de l’environnement d’exécution Java, mais inclura également le dernières corrections de bogues et de vulnérabilités. La dernière version de Java prise en charge par Apple est Java SE 6, et depuis qu’il a cédé les rênes à Oracle, il a progressivement cessé de prendre en charge le runtime sous OS X.
Alerte d’enregistrement brisé : Si vous avez vraiment besoin de Java et que vous l’utilisez pour des sites Web ou des applications spécifiques, prenez quelques minutes pour mettre à jour ce logiciel. Oracle aime rappeler à tous que 3 milliards d’appareils dans le monde exécutent Javaet que 89 % des ordinateurs de bureau exécutent une forme de Java (ce qui correspond à peu près à ce que l’entreprise de gestion des vulnérabilités Sécunia trouvé l’année dernière). Mais cette énorme base d’installation – combinée à un hit-parade de bogues de sécurité et à un composant qui se connecte directement au navigateur Web – fait du logiciel Java une cible pérenne des logiciels malveillants et des mécontents.
Si vous avez une utilisation ou un besoin affirmatif de Java, débranchez-le du navigateur à moins que et jusqu’à ce que vous soyez sur un site qui l’exige (ou au moins profitez du click-to-play). Java 7 permet aux utilisateurs désactiver le contenu Java dans les navigateurs Web à travers le Panneau de configuration Java. Vous pouvez également envisager une approche à double navigateur, en débranchant Java du navigateur que vous utilisez pour la navigation quotidienne et en le laissant branché sur un deuxième navigateur que vous n’utilisez que pour les sites nécessitant Java.
Sinon, envisagez sérieusement de supprimer complètement Java. J’ai longtemps exhorté les utilisateurs finaux à junk Java à moins qu’ils n’en aient une utilisation spécifique (ce conseil ne s’adapte pas aux entreprises, qui ont souvent des applications héritées et personnalisées qui reposent sur Java). Ce programme puissant et largement installé est truffé de failles de sécurité et constitue une cible de choix pour les auteurs de logiciels malveillants et les malfaiteurs.
Il existe plusieurs façons de savoir si Java est installé et quelle version peut être en cours d’exécution. Les utilisateurs de Windows peuvent cliquer sur Démarrer, puis sur Exécuter, puis taper « cmd » sans les guillemets. À l’invite de commande, tapez « java -version » (encore une fois, sans guillemets). Les utilisateurs peuvent également visiter Java.com et cliquer sur « Ai-je Java? » lien sur la page d’accueil. Les mises à jour doivent également être disponibles via le panneau de configuration Java ou depuis Java.com.