Apple a publié lundi une mise à jour critique de sa version de Java pour Mac OS X qui bouche au moins une douzaine de failles de sécurité dans le programme. Plus important encore, le correctif corrige une faille sur laquelle les attaquants se sont récemment attaqués pour déployer à grande échelle des logiciels malveillants, à la fois sur les fenêtres et les systèmes Mac.
le mettre à jourJava pour OS X Lion 2012-001 et Java pour Mac OS X 10.6 Update 7, recèle une faille de sécurité extrêmement grave (CVE-2012-0507) que les malfaiteurs ont récemment intégrés dans des kits d’exploitation automatisés conçus pour déployer des logiciels malveillants sur les utilisateurs de Windows. Mais au cours des derniers jours, des informations ont fait surface suggérant que la même faille a été utilisée avec grand succès par le cheval de Troie Flashback pour infecter un grand nombre d’ordinateurs Mac avec des logiciels malveillants.
Les révélations viennent d’une firme de sécurité russe Dr Webqui rapporte que le Cheval de Troie Flashback a infecté avec succès plus de 550 000 Macdont la plupart étaient des systèmes basés aux États-Unis (pointe du chapeau à Adrien Sanabria). Le message de Dr.Web est disponible dans sa version traduite par Google ici.
Flashback est une souche de logiciels malveillants de plus en plus sophistiquée qui renifle le trafic réseau à la recherche de noms d’utilisateur et de mots de passe. Les premières versions de celui-ci incitaient les utilisateurs de Mac à entrer leur mot de passe avant qu’il ne s’exécute, mais les souches les plus récentes infecteront volontiers les systèmes Mac vulnérables sans nécessiter de mot de passe, écrit Ars Technica, entre autres. F-Secure dispose d’informations supplémentaires utiles sur cette attaque de cheval de Troie ici.
Comme le note Ars, bien qu’Apple ait cessé de regrouper Java par défaut dans OS X 10.7 (Lion), il propose des instructions pour télécharger et installer le Oracle-framework logiciel développé lorsque les utilisateurs accèdent aux pages Web qui l’utilisent. Si vous avez besoin de Java sur votre Mac uniquement pour une application spécifique (comme OpenOffice), vous pouvez le débrancher du navigateur en désactivant son plug-in. Dans Safari, cela peut être fait en cliquant sur Préférences, puis sur l’onglet Sécurité (décochez « Activer Java »). Dans Google Chrome, ouvrez Préférences, puis tapez « Java » dans la zone de recherche. Faites défiler jusqu’à la section Plug-ins et cliquez sur le lien « Désactiver les plug-ins individuels ». Si Java est installé, vous devriez voir un lien « désactiver » sous sa liste. Dans MozillaFirefox pour Mac, cliquez sur Outils, Modules complémentaires et désactivez le(s) plugin(s) Java.
Je ne saurais trop insister sur ce point : Si vous n’avez pas besoin de Java, supprimez-le de votre système, que vous soyez un utilisateur Mac ou Windows. Si vous avez besoin d’être davantage convaincu des raisons de cette recommandation, je vous encourage à parcourir certains de mes anciens articles liés à Java.
Apple maintient sa propre version de Java et, comme pour cette version, elle a généralement pris un retard inacceptable sur Oracle dans la correction des failles critiques de cette application multiplateforme et très ciblée. En 2009, j’ai examiné Apple retards de patch sur Java et a constaté que la société corrigeait les failles Java en moyenne environ six mois après la mise à disposition des versions officielles par Sun, alors responsable de Java. Le dépositaire actuel de Java – Oracle Corp. – a publié pour la première fois une mise à jour pour corriger cette faille et d’autres le 17 février. Je suppose que les performances d’Apple sur ce front se sont améliorées, mais sa réponse nonchalante (et souvent tout simplement déroutante) à la correction de sécurité dangereuse trous perpétue le mythe néfaste selon lequel les utilisateurs de Mac n’ont pas à se soucier des attaques de logiciels malveillants.