Oracle cette semaine a publié sa mise à jour trimestrielle pour Java, un programme largement installé qui, pour la plupart des utilisateurs occasionnels, a probablement introduit plus de vulnérabilité que d’utilité. Si Java est installé et que vous en avez besoin pour une application ou un site Web, il est temps de le mettre à jour. Si vous n’êtes pas sûr d’avoir Java sur votre ordinateur ou si vous ne savez pas pourquoi vous l’avez toujours, lisez la suite pour obtenir des conseils qui pourraient vous éviter des maux de tête liés à la sécurité.
La mise à jour d’Oracle apporte Java 7 pour Mise à jour 75 et Java 8 pour Mise à jour 31, et corrige au moins 19 failles de sécurité dans le programme. Fournisseur de sécurité Qualys Remarques que 13 de ces failles sont exploitables à distance, avec un Note CVSS de 10 (score le plus sévère possible).
Les utilisateurs de Java 7 doivent savoir qu’Oracle des plans pour commencer à utiliser la fonction de mise à jour automatique intégrée au programme pour migrer ces utilisateurs vers Java 8 cette semaine.
Selon un nouveau rapport (PDF) de Cisco, les attaques en ligne qui exploitent les vulnérabilités Java ont diminué de 34 % au cours de l’année écoulée. Cisco estime que cela est dû aux améliorations de la sécurité du programme et aux méchants qui adoptent de nouveaux vecteurs d’attaque, tels que Microsoft Silverlight défauts (si vous êtes un Netflix abonné, Silverlight est installé). Néanmoins, mon message à propos de Java restera le même : corrigez-le ou lancez-le.
Le problème avec Java est qu’il a une base d’installation très large, mais de nombreux utilisateurs ne savent même pas s’ils l’ont sur leurs systèmes. Il existe plusieurs façons de savoir si Java est installé et quelle version peut être en cours d’exécution. Les utilisateurs de Windows peuvent rechercher le programme dans la liste Ajout/Suppression de programmes de Windows, ou visiter Java.com et cliquer sur « Do I have Java ? lien sur la page d’accueil. Les mises à jour devraient également être disponibles via le Panneau de configuration Java ou de Java.com.
Si vous avez vraiment besoin de Java et que vous l’utilisez pour des sites Web ou des applications spécifiques, prenez quelques minutes pour mettre à jour ce logiciel. Dans le passé, la mise à jour via le panneau de configuration sélectionnait automatiquement l’installation de logiciels tiers, alors assurez-vous de rechercher tous les « modules complémentaires » pré-cochés avant de procéder à une mise à jour via le panneau de configuration Java.
Sinon, envisagez sérieusement de supprimer complètement Java. J’ai longtemps exhorté les utilisateurs finaux à junk Java à moins qu’ils n’en aient une utilisation spécifique (ce conseil ne s’adapte pas aux entreprises, qui ont souvent des applications héritées et personnalisées qui reposent sur Java). Ce programme puissant et largement installé est truffé de failles de sécurité et constitue une cible de choix pour les auteurs de logiciels malveillants et les malfaiteurs.
Si vous avez une utilisation ou un besoin affirmatif de Java, il existe un moyen d’installer ce programme tout en minimisant le risque que des escrocs exploitent des failles inconnues ou non corrigées dans le programme : débranchez-le du navigateur à moins que et jusqu’à ce que vous soyez sur un site qui l’exige (ou au moins tirer parti du click-to-play, qui peut empêcher les sites Web d’afficher à la fois le contenu Java et Flash par défaut). Les dernières versions de Java permettent aux utilisateurs désactiver le contenu Java dans les navigateurs Web à travers le Panneau de configuration Java. Vous pouvez également envisager une approche à double navigateur, en débranchant Java du navigateur que vous utilisez pour la navigation quotidienne et en le laissant branché sur un deuxième navigateur que vous n’utilisez que pour les sites nécessitant Java.
Pour les utilisateurs expérimentés de Java – ou pour ceux qui ont des difficultés à mettre à jour ou à supprimer une ancienne version tenace – je recommande JavaRaqui peut aider à réparer ou à supprimer Java lorsque d’autres méthodes échouent (nécessite le Cadre Microsoft .NET).
Beaucoup de gens confondent Java avec Javascript, un puissant langage de script qui permet de rendre les sites interactifs. Malheureusement, un pourcentage énorme d’attaques basées sur le Web utilisent des astuces JavaScript pour imposer des logiciels malveillants et des exploits aux visiteurs du site. Pour en savoir plus sur les façons de gérer JavaScript dans le navigateur, consultez mon didacticiel Outils pour un PC plus sûr.