[ad_1]

Oracle a publié aujourd’hui la troisième mise à jour en moins d’un mois pour corriger les vulnérabilités critiques de son Java Logiciel. Ce correctif comble une faille de sécurité dangereuse dans Java que les attaquants ont exploitée pour s’introduire dans les systèmes.

java messJava 7 mise à jour 17 et Java 6 mise à jour 43 corrigent une vulnérabilité critique (CVE-2013-1493) dans Java que les experts en sécurité ont avertie la semaine dernière et qui était utilisée dans des attaques ciblées contre des cibles de premier plan. Oracle avait l’intention de cesser de fournir des mises à jour pour Java 6 à la fin du mois de février, mais a apparemment fait marche arrière pour le moment pour aider les utilisateurs de Java 6 à faire face à cette dernière crise.

Je pensais que c’était une réponse de patch inhabituellement rapide pour Oracle, c’est-à-dire jusqu’à ce que je lise un Article de blog Oracle qui accompagnait la publication du patch. Oracle a déclaré que bien que des rapports d’exploitation active contre la vulnérabilité aient été récemment reçus, ce bogue a été initialement signalé à Oracle le 1er février 2013, « malheureusement trop tard pour être inclus dans la mise à jour du correctif critique qu’il a publiée le 19 février.

« La société avait l’intention d’inclure un correctif pour CVE-2013-1493 dans la mise à jour critique du correctif du 16 avril 2013 pour Java SE (notez qu’Oracle a récemment annoncé son intention d’avoir une version de sécurité Java SE supplémentaire à cette date en plus de celles précédemment prévu en juin et octobre 2013) », a écrit Oracle Éric Maurice. « Cependant, à la lumière des rapports d’exploitation active de CVE-2013-1493, et afin d’aider à maintenir la posture de sécurité de tous les utilisateurs de Java SE, Oracle a décidé de publier un correctif pour cette vulnérabilité et un autre bogue étroitement lié dès que possible grâce à cela Alerte de sécurité.”

Ce qui rend les vulnérabilités Java si dangereuses, c’est que Java est un produit multiplateforme, ce qui signifie que les exploits contre les vulnérabilités de Java peuvent être utilisés pour fournir des charges utiles malveillantes aux systèmes Mac et Linux de la même manière qu’aux PC Windows. La précédente mise à jour de Java publiée le 19 février est intervenue au milieu des révélations de Pomme, Facebook et Twitter que les employés de ces organisations et des dizaines d’autres ont été piratés à l’aide d’exploits qui attaquaient les vulnérabilités Java sur les machines Mac et Windows.

panneau de configuration javaJe l’ai déjà dit, mais cela mérite d’être répété : Java est un produit d’entreprise qui a atterri d’une manière ou d’une autre sur quelque chose comme 80 % des systèmes grand public. La plupart des utilisateurs finaux qui ont Java sur leurs systèmes n’en ont probablement pas besoin et peuvent le supprimer en toute sécurité (ce conseil n’est pas adapté aux utilisateurs de systèmes d’entreprise, qui peuvent avoir des applications spécifiques qui reposent sur Java). Il s’agit d’un programme bogué qui semble produire un flux fiable d’opportunités d’exploit zero-day pour les auteurs de logiciels malveillants. Donc, si vous n’en avez pas besoin, jetez-le.

Si vous en avez besoin, débranchez-le du navigateur à moins que et jusqu’à ce que vous en ayez besoin. Il est maintenant possible de désactiver le contenu Java dans les navigateurs Web via l’applet du panneau de configuration Java. Vous pouvez également envisager une approche à double navigateur, en débranchant Java du navigateur que vous utilisez pour la navigation quotidienne et en le laissant branché sur un deuxième navigateur que vous n’utilisez que pour les sites nécessitant Java.

Les mises à jour doivent être disponibles via le panneau de configuration Java (voir capture d’écran ci-dessus) ou sur Java.com. Mac Les utilisateurs d’OS X 10.6 qui ont Java doivent vérifier la mise à jour du logiciel pour toutes les mises à jour disponibles. Les utilisateurs de Mac OS X 10.7 (Lion) et 10.8 (Mountain Lion) peuvent récupérer la version mise à jour de Java sur Java.com.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *