Oracle a publié aujourd’hui une mise à jour de sécurité pour son Java plate-forme qui adresse au moins 20 vulnérabilités dans le logiciel. Collectivement, les bogues corrigés dans cette mise à jour ont obtenu la cote « critique » d’Oracle, ce qui signifie qu’ils peuvent être exploités sur un réseau sans avoir besoin d’un nom d’utilisateur et d’un mot de passe. En bref, si Java est installé, il est temps de le corriger ou de le présenter.
La dernière mise à jour de Java 7 (la version que la plupart des utilisateurs auront installée) amène le programme à Java 7 mise à jour 65. Ceux qui ont choisi de mettre à niveau vers la version la plus récente de Java — Java 8 — trouveront des correctifs disponibles dans Java 8 mise à jour 11.
Selon Oracle, au moins 8 des 20 failles de sécurité corrigées dans cette version ont valu une Système commun de notation des vulnérabilités (CVSS) de 9,0 ou plus (10 étant la plus sévère). Oracle affirme que les vulnérabilités avec un score CVSS 9.x sont celles qui peuvent être facilement exploitées à distance et sans authentification, et qui entraînent la compromission complète du système d’exploitation hôte.
Le problème avec Java est qu’il a une base d’installation très large, mais de nombreux utilisateurs ne savent même pas s’ils l’ont sur leurs systèmes. Il existe plusieurs façons de savoir si Java est installé et quelle version peut être en cours d’exécution. Les utilisateurs de Windows peuvent cliquer sur Démarrer, puis sur Exécuter, puis taper « cmd » sans les guillemets. À l’invite de commande, tapez « java -version » (encore une fois, sans guillemets). Les utilisateurs peuvent également visiter Java.com et cliquer sur « Ai-je Java? » lien sur la page d’accueil. Les mises à jour devraient également être disponibles via le Panneau de configuration Java ou de Java.com.
Si vous avez vraiment besoin de Java et que vous l’utilisez pour des sites Web ou des applications spécifiques, prenez quelques minutes pour mettre à jour ce logiciel. Les mises à jour sont disponibles sur Java.com ou via le panneau de configuration Java. Gardez à l’esprit que la mise à jour via le panneau de configuration sélectionnera automatiquement l’installation de la barre d’outils Ask, alors désélectionnez-la si vous ne voulez pas le crapware ajouté.
Sinon, envisagez sérieusement de supprimer complètement Java. J’ai longtemps exhorté les utilisateurs finaux à junk Java à moins qu’ils n’en aient une utilisation spécifique (ce conseil ne s’adapte pas aux entreprises, qui ont souvent des applications héritées et personnalisées qui reposent sur Java). Ce programme puissant et largement installé est truffé de failles de sécurité et constitue une cible de choix pour les auteurs de logiciels malveillants et les malfaiteurs.
Si vous avez une utilisation ou un besoin affirmatif de Java, débranchez-le du navigateur à moins que et jusqu’à ce que vous soyez sur un site qui l’exige (ou au moins profitez du click-to-play). Les dernières versions de Java permettent aux utilisateurs désactiver le contenu Java dans les navigateurs Web à travers le Panneau de configuration Java. Vous pouvez également envisager une approche à double navigateur, en débranchant Java du navigateur que vous utilisez pour la navigation quotidienne et en le laissant branché sur un deuxième navigateur que vous n’utilisez que pour les sites nécessitant Java.
Pour les utilisateurs expérimentés de Java – ou pour ceux qui ont des difficultés à mettre à jour ou à supprimer une ancienne version tenace – je recommande JavaRaqui peut aider à réparer ou à supprimer Java lorsque d’autres méthodes échouent (nécessite le Cadre Microsoft .NET).
.
Oracle a publié aujourd’hui une mise à jour de sécurité pour son Java plate-forme qui adresse au moins 20 vulnérabilités dans le logiciel. Collectivement, les bogues corrigés dans cette mise à jour ont obtenu la cote « critique » d’Oracle, ce qui signifie qu’ils peuvent être exploités sur un réseau sans avoir besoin d’un nom d’utilisateur et d’un mot de passe. En bref, si Java est installé, il est temps de le corriger ou de le présenter.
La dernière mise à jour de Java 7 (la version que la plupart des utilisateurs auront installée) amène le programme à Java 7 mise à jour 65. Ceux qui ont choisi de mettre à niveau vers la version la plus récente de Java — Java 8 — trouveront des correctifs disponibles dans Java 8 mise à jour 11.
Selon Oracle, au moins 8 des 20 failles de sécurité corrigées dans cette version ont valu une Système commun de notation des vulnérabilités (CVSS) de 9,0 ou plus (10 étant la plus sévère). Oracle affirme que les vulnérabilités avec un score CVSS 9.x sont celles qui peuvent être facilement exploitées à distance et sans authentification, et qui entraînent la compromission complète du système d’exploitation hôte.
Le problème avec Java est qu’il a une base d’installation très large, mais de nombreux utilisateurs ne savent même pas s’ils l’ont sur leurs systèmes. Il existe plusieurs façons de savoir si Java est installé et quelle version peut être en cours d’exécution. Les utilisateurs de Windows peuvent cliquer sur Démarrer, puis sur Exécuter, puis taper « cmd » sans les guillemets. À l’invite de commande, tapez « java -version » (encore une fois, sans guillemets). Les utilisateurs peuvent également visiter Java.com et cliquer sur « Ai-je Java? » lien sur la page d’accueil. Les mises à jour devraient également être disponibles via le Panneau de configuration Java ou de Java.com.
Si vous avez vraiment besoin de Java et que vous l’utilisez pour des sites Web ou des applications spécifiques, prenez quelques minutes pour mettre à jour ce logiciel. Les mises à jour sont disponibles sur Java.com ou via le panneau de configuration Java. Gardez à l’esprit que la mise à jour via le panneau de configuration sélectionnera automatiquement l’installation de la barre d’outils Ask, alors désélectionnez-la si vous ne voulez pas le crapware ajouté.
Sinon, envisagez sérieusement de supprimer complètement Java. J’ai longtemps exhorté les utilisateurs finaux à junk Java à moins qu’ils n’en aient une utilisation spécifique (ce conseil ne s’adapte pas aux entreprises, qui ont souvent des applications héritées et personnalisées qui reposent sur Java). Ce programme puissant et largement installé est truffé de failles de sécurité et constitue une cible de choix pour les auteurs de logiciels malveillants et les malfaiteurs.
Si vous avez une utilisation ou un besoin affirmatif de Java, débranchez-le du navigateur à moins que et jusqu’à ce que vous soyez sur un site qui l’exige (ou au moins profitez du click-to-play). Les dernières versions de Java permettent aux utilisateurs désactiver le contenu Java dans les navigateurs Web à travers le Panneau de configuration Java. Vous pouvez également envisager une approche à double navigateur, en débranchant Java du navigateur que vous utilisez pour la navigation quotidienne et en le laissant branché sur un deuxième navigateur que vous n’utilisez que pour les sites nécessitant Java.
Pour les utilisateurs expérimentés de Java – ou pour ceux qui ont des difficultés à mettre à jour ou à supprimer une ancienne version tenace – je recommande JavaRaqui peut aider à réparer ou à supprimer Java lorsque d’autres méthodes échouent (nécessite le Cadre Microsoft .NET).
.