Oracle a publié une mise à jour urgente pour combler une faille de sécurité dangereuse dans son Java logiciels que les attaquants ont utilisés pour déployer des logiciels malveillants. Le correctif intervient au milieu des révélations selon lesquelles Oracle a été informé en avril de cette vulnérabilité et d’un certain nombre d’autres failles Java potentiellement non corrigées.
Le correctif corrige une faille critique dans la dernière version de Java 7 qui est maintenant largement exploitée. Les utilisateurs disposant de versions vulnérables de Java peuvent installer silencieusement des logiciels malveillants sur leurs systèmes simplement en naviguant sur un site Web piraté ou malveillant.
La mise à jour apporte Java 7 à la mise à jour 7, et semble corriger la faille exploitée et plusieurs autres failles de sécurité. Oracle a également publié une mise à jour de sécurité pour les systèmes exécutant Java 6, qui apporte cette version à Java 6 Update 35.
Les correctifs d’aujourd’hui sont des mises à jour d’urgence et non planifiées pour Oracle, qui ne prévoyait auparavant pas de publier des mises à jour de sécurité pour Java avant octobre. Bien qu’il puisse sembler qu’Oracle ait réagi rapidement à la découverte de failles extrêmement dangereuses dans son logiciel, Explorations de sécurité — une société de recherche polonaise — dit il a alerté Oracle de cette vulnérabilité et de 30 autres en avril. On ne sait pas encore combien de ces vulnérabilités ont été corrigées dans cette version.
« Nous… nous attendions à ce que les plus graves d’entre eux soient corrigés d’ici juin 2012 Java CPU », a déclaré le PDG et fondateur de Security Explorations. Adam Gowdiak Raconté Le Registre Neil Mc Allister. « Mais cela ne s’est pas produit et Oracle a laissé de nombreux problèmes non corrigés avec des plans pour les résoudre dans le prochain Java [updates].”
Si vous n’avez pas besoin de Java, désinstallez-le de votre système. Ce programme est extrêmement bogué et Oracle a tendance à prendre son temps avec les mises à jour de sécurité, se comportant comme s’il n’avait pas des centaines de millions d’utilisateurs individuels. Si vous décidez plus tard que vous avez besoin de Java, vous pouvez toujours réinstaller le programme. Si vous souhaitez toujours conserver Java, mais que vous n’en avez besoin que pour des sites Web spécifiques, vous pouvez toujours réduire considérablement le risque d’attaques Java simplement en désactivant le plug-in dans votre navigateur Web. Dans ce cas, je suggérerais de mettre à jour vers la dernière version, puis d’adopter une approche à deux navigateurs. Si vous naviguez normalement sur le Web avec Firefox, par exemple, pensez à désactiver le plugin Java dans Firefox, puis à utiliser un autre navigateur (Chrome, IE9, Safari, etc.) avec Java activé pour parcourir uniquement le site qui le nécessite.
Pour obtenir des instructions spécifiques au navigateur sur la désactivation de Java, cliquez ici. Si vous ne savez pas si Java est installé sur votre système ou quelle est la version de votre ordinateur, rendez-vous sur java.com et cliquez sur « Do I have Java? lien.
Les utilisateurs Windows peuvent récupérer la mise à jour en visitant le Panneau de configuration Windows et en cliquant sur l’icône Java (ou en recherchant « Java »). À partir de là, sélectionnez l’onglet Mettre à jour et le bouton Mettre à jour maintenant. Notez que le programme de mise à jour peut sélectionner automatiquement une barre d’outils telle que « Demander la barre d’outils ; » si vous ne le souhaitez pas non plus, désélectionnez-le avant de continuer. Mac et Linux les utilisateurs peuvent obtenir Java 7 Update 7 à partir de ce lien.
Si vous envisagez de conserver Java sur votre système, mettez-le à jour maintenant. Il a été démontré que l’exploit utilisé dans la nature fonctionne sur les systèmes Windows, Mac et Linux exécutant les versions 1 à 6 de la mise à jour Java 7.