Oracle Corp. a publié aujourd’hui une mise à jour pour son Java SE logiciel qui corrige au moins 42 failles de sécurité dans le programme largement installé et le plug-in de navigateur associé. La mise à jour Java introduit également de nouvelles fonctionnalités conçues pour alerter les utilisateurs sur les risques de sécurité liés à l’exécution de certains contenus Java.
Java 7 mise à jour 21 contient 42 nouveaux correctifs de sécurité pour Oracle Java SE. La majorité de ces failles sont des vulnérabilités de navigation vers un site piraté et d’infection. Selon Oracle, «39 de ces vulnérabilités peuvent être exploitables à distance sans authentification, c’est-à-dire qu’elles peuvent être exploitées sur un réseau sans avoir besoin d’un nom d’utilisateur et d’un mot de passe » [emphasis mine].
Il ne semble pas y avoir de mise à jour pour Java 6. Oracle devait cesser de fournir des correctifs de sécurité pour Java 6 en février, mais il a rompu ce calendrier le mois dernier lorsqu’il a publié une mise à jour d’urgence pour Java 6 pour corriger une faille qui était utilisée dans des attaques actives. Lorsque j’ai mis à jour une machine exécutant la dernière version de Java 6 (Mise à jour 43) cela m’a invité à installer Java 7 Update 21. Mise à jour, 17 h 42 HE : Suiveur Twitter @DonaldOJDK Remarques ce Java 6 mise à jour 45 est en effet disponible ici.
Java 7 Update 21 introduit également de nouveaux avertissements de sécurité et invites de messages pour les utilisateurs qui maintiennent le programme connecté à un navigateur Web (lors de l’installation et de la mise à jour, Java s’ajoute en tant que plug-in de navigateur actif). Oracle mentionné les messages qui seront présentés dépendent de différents facteurs de risque, tels que l’utilisation d’anciennes versions de Java ou l’exécution d’un code d’applet qui n’est pas signé par une autorité de certification approuvée.
Les applications qui présentent un risque moindre affichent un simple message d’information. Cela inclut une option pour empêcher l’affichage de messages similaires pour les applications du même éditeur à l’avenir. Les applications Java considérées comme présentant un risque plus élevé, telles que celles qui utilisent un certificat non approuvé ou expiré, seront accompagnées d’une invite avec un point d’exclamation jaune dans un triangle d’avertissement jaune.
Comme Ars Technica écritOracle a introduit un schéma de message de dialogue similaire à la fin de l’année dernière, mais comme rapporté précédemment par Ars, il ne vérifie pas la validité des certificats d’application. C’est une lacune qui permet aux attaquants de contourner facilement la protection. En effet, il présente les certificats comme dignes de confiance même lorsqu’ils ont été signalés comme volés et ajoutés aux bases de données de révocation accessibles au public. L’échec de Java à vérifier les listes de révocation de certificats a été révélé le mois dernier après que Java a donné le feu vert à une application malveillante, même si le certificat numérique qui la signait avait été révoqué par la société qui la possédait.
J’ai longtemps exhorté les utilisateurs finaux à désinstaller Java à moins qu’ils n’en aient une utilisation spécifique (ce conseil ne s’adapte pas aux entreprises, qui ont souvent des applications personnalisées complexes qui reposent sur Java). Ce programme puissant et largement installé est truffé de failles de sécurité et est la cible préférée des auteurs de logiciels malveillants et des malfaiteurs. Plutôt que de demander aux utilisateurs de discerner la sécurité des applications à l’aide de triangles jaunes, de boucliers bleus, trèfles verts ou étoiles orangesje continuerai à dire aux utilisateurs de se débarrasser complètement de Java.
Si vous en avez besoin, débranchez-le du navigateur à moins que et jusqu’à ce que vous en ayez besoin. Java 7 permet aux utilisateurs désactiver le contenu Java dans les navigateurs Web via l’applet du panneau de configuration Java. Vous pouvez également envisager une approche à double navigateur, en débranchant Java du navigateur que vous utilisez pour la navigation quotidienne et en le laissant branché sur un deuxième navigateur que vous n’utilisez que pour les sites nécessitant Java.
Il existe plusieurs façons de savoir si Java est installé et quelle version peut être en cours d’exécution. Les utilisateurs de Windows peuvent cliquer sur Démarrer, puis sur Exécuter, puis taper « cmd » sans les guillemets. À l’invite de commande, tapez « java -version » (encore une fois, sans guillemets). Les utilisateurs peuvent également visiter Java.com et cliquer sur « Ai-je Java? » lien sur la page d’accueil. Les mises à jour doivent également être disponibles via le panneau de configuration Java ou depuis Java.com. Mac Les utilisateurs d’OS X 10.6 (Snow Leopard) qui ont Java doivent vérifier la mise à jour du logiciel pour toutes les mises à jour disponibles. Les utilisateurs de Mac OS X 10.7 (Lion) et 10.8 (Mountain Lion) peuvent récupérer la version mise à jour de Java sur Java.com.