Oracle a publié une mise à jour logicielle pour corriger une faille de sécurité critique dans son Java logiciels que les malfaiteurs et les logiciels malveillants exploitent pour s’introduire dans des ordinateurs vulnérables.
Java 7 mise à jour 11 corrige une faille critique (CVE-2013-0422) dans Java 7 mise à jour 10 et les versions antérieures de Java 7. La mise à jour est disponible via Site Internet d’Oracle, ou peut être téléchargé à partir de Java via le panneau de configuration Java. Les utilisateurs existants doivent pouvoir effectuer la mise à jour en visitant le Panneau de configuration de Windows et en cliquant sur l’icône Java, ou en recherchant « Java » et en cliquant sur le bouton « Mettre à jour maintenant » dans l’onglet Mise à jour.
Cette mise à jour modifie également la façon dont Java gère les applications Web. D’après Oracle consultatif: « Le niveau de sécurité par défaut des applets Java et des applications de démarrage Web est passé de « Moyen » à « Élevé ». Cela affecte les conditions dans lesquelles les applications Web Java non signées (sandbox) peuvent s’exécuter. Auparavant, tant que vous disposiez de la dernière version sécurisée de Java, les applets et les applications de démarrage Web continuaient de fonctionner comme d’habitude. Avec le paramètre « Élevé », l’utilisateur est toujours averti avant l’exécution de toute application non signée pour empêcher une exploitation silencieuse.
C’est bien qu’Oracle ait corrigé cette vulnérabilité si rapidement, mais je continuerai à conseiller aux lecteurs de supprimer complètement ce programme à moins qu’ils n’en aient un besoin spécifique. D’une part, Oracle a essayé (et échoué) de corriger cette faille dans une mise à jour antérieure. De plus, il semble que les auteurs de logiciels malveillants trouvent constamment de nouvelles vulnérabilités zero-day dans Java, et je ne serais pas surpris de voir cette situation zero-day se répéter dans un mois environ. De plus, la plupart des utilisateurs qui ont installé Java peuvent très bien s’en passer (les entreprises ont souvent des opérations critiques qui reposent sur Java).
Si vous avez besoin de Java pour un site Web spécifique, envisagez d’adopter une approche à deux navigateurs. Si vous naviguez normalement sur le Web avec Firefox, par exemple, envisagez de désactiver le plug-in Java dans Firefox, puis d’utiliser un autre navigateur (Chrome, IE9, Safari, etc.) avec Java activé pour parcourir uniquement le ou les sites qui nécessitent( asseoir.