Adobe a publié un correctif pour corriger une vulnérabilité zero-day dans son Lecteur Flash Logiciel. Séparément, Oracle a publié aujourd’hui une mise à jour pour corriger plus de deux douzaines de défauts dans son Java Logiciel. Les deux programmes se connectent directement au navigateur et sont fortement ciblés par les logiciels malveillants et les malfaiteurs. Bien que Flash et Java soient tous deux largement installés, la plupart des utilisateurs pourraient probablement abandonner chaque programme avec peu ou pas d’inconvénients ou de regrets.
La dernière version Flash, Flash 19.0.0.226 au les fenêtres et Mac, corrige une faille dont Adobe avait averti la semaine dernière qu’elle était déjà exploitée dans des attaques actives. Comme je l’ai noté dans un article précédent, la plupart des utilisateurs peuvent sauter du manège incessant de correctifs Flash en supprimant simplement le programme – ou en le boitant jusqu’à ce qu’il soit nécessaire à des fins ou sur un site.
La désactivation de Flash dans Chrome est assez simple et peut être facilement inversée : sur une installation Windows, Mac, Linux ou Chrome OS de Chrome, tapez « chrome: plugins » dans la barre d’adresse, et sur la page Plug-ins, recherchez le » Liste Flash : pour désactiver Flash, cliquez sur le lien de désactivation (pour le réactiver, cliquez sur « activer »). Les utilisateurs de Windows peuvent supprimer Flash du panneau Ajout/Suppression de programmes ou utiliser le programme de désinstallation d’Adobe pour Flash Player.
Si vous craignez de supprimer complètement Flash, envisagez une approche à double navigateur. Autrement dit, débranchez Flash du navigateur que vous utilisez pour la navigation quotidienne et laissez-le branché sur un deuxième navigateur que vous n’utilisez que pour les sites nécessitant Flash. Une autre alternative à la suppression de Flash est Click-To-Play, qui vous permet de contrôler le contenu Flash (et Java) à charger lorsque vous visitez une page Web.
Si vous décidez de continuer avec Flash et de mettre à jour, les versions les plus récentes de Flash devraient être disponibles à partir de la page d’accueil de Flash, mais méfiez-vous des modules complémentaires potentiellement indésirables, comme McAfee Security Scan. Pour éviter cela, décochez la case pré-cochée avant de télécharger, ou récupérez votre téléchargement Flash spécifique au système d’exploitation à partir d’ici. Les utilisateurs de Windows qui naviguent sur le Web avec autre chose qu’Internet Explorer peuvent avoir besoin d’appliquer ce correctif deux fois, une fois avec IE et une autre fois en utilisant le navigateur alternatif (Firefox, Opera, par exemple).
JAVA
Par ailleurs, Oracle a publié sa mise à jour trimestrielle de correctifs pour Java, un autre plug-in de navigateur puissant qui est également fortement ciblé par les logiciels malveillants et les vauriens. Cette mise à jour pour Java — qui amène le programme à Java 8 mise à jour 65 — corrige au moins 25 vulnérabilités de sécurité. Selon Oracle, toutes ces failles sauf une peuvent être exploitables à distance sans authentificationce qui signifie qu’ils peuvent être exploités sur un réseau sans avoir besoin d’un nom d’utilisateur et d’un mot de passe.
Si Java est installé, veuillez le mettre à jour dès que possible. Les utilisateurs de Windows peuvent rechercher le programme dans la liste Ajout/Suppression de programmes de Windows, ou visiter Java.com et cliquer sur « Do I have Java ? lien sur la page d’accueil. Les mises à jour devraient également être disponibles via le Panneau de configuration Java ou de Java.com.
Si vous avez vraiment besoin de Java et que vous l’utilisez pour des sites Web ou des applications spécifiques, prenez quelques minutes pour mettre à jour ce logiciel. Sinon, envisagez sérieusement de supprimer complètement Java. J’ai longtemps exhorté les utilisateurs finaux à junk Java à moins qu’ils n’en aient une utilisation spécifique (ce conseil ne s’adapte pas aux entreprises, qui ont souvent des applications héritées et personnalisées qui reposent sur Java). Ce programme puissant et largement installé est truffé de failles de sécurité et constitue une cible de choix pour les auteurs de logiciels malveillants et les malfaiteurs.
Si vous avez une utilisation ou un besoin affirmatif de Java, il existe un moyen d’installer ce programme tout en minimisant le risque que des escrocs exploitent des failles inconnues ou non corrigées dans le programme : débranchez-le du navigateur à moins que et jusqu’à ce que vous soyez sur un site qui l’exige (ou au moins tirer parti du click-to-play, qui peut empêcher les sites Web d’afficher à la fois le contenu Java et Flash par défaut). Les dernières versions de Java permettent aux utilisateurs désactiver le contenu Java dans les navigateurs Web à travers le Panneau de configuration Java. Vous pouvez également envisager une approche à double navigateur, en débranchant Java du navigateur que vous utilisez pour la navigation quotidienne et en le laissant branché sur un deuxième navigateur que vous n’utilisez que pour les sites nécessitant Java.
Beaucoup de gens confondent Java avec Javascript, un puissant langage de script qui permet de rendre les sites interactifs. Malheureusement, un pourcentage énorme d’attaques basées sur le Web utilisent des astuces JavaScript pour imposer des logiciels malveillants et des exploits aux visiteurs du site. Pour en savoir plus sur les façons de gérer JavaScript dans le navigateur, consultez mon didacticiel Outils pour un PC plus sûr.