Oracle a publié un correctif d’urgence pour la faille de sécurité dans Java, activement exploitée par les pirates.
La mise à jour Java 7 Update 11 apporte des correctifs pour les vulnérabilités étiquetées CVE-2013-0422 et CVE-2012-3174.
La faille CVE-2013-0422, dont le code des instructions permettant de l’exploiter a déjà été implémenté dans deux kits de piratage, permet après la visite d’un site web compromis, d’exécuter du code arbitraire à distance et d'installer des applications malveillantes sur le poste d’un utilisateur.
La vulnérabilité CVE-2012-3174, quant à elle, peut également être exploitée à distance via le plugin Java s’exécutant dans le navigateur, en incitant les utilisateurs à naviguer sur un site Web malveillant.
Java 7u11 modifie également la politique de sécurité par défaut du plugin Java, de sorte que dorénavant, les applets non signés devraient toujours générer un message d’avertissement à l’utilisateur avant d’être exécutés.
Oracle recommande l’application immédiate de cette mise à jour. La société estime également que les utilisateurs ayant désactivé le plugin Java peuvent l’activer à nouveau.
Sauf que, les experts en sécurité, presque à l’unanimité, suggèrent de maintenir le plugin Java bloqué. « C’est bien qu’Oracle ait fixé cette vulnérabilité rapidement », écrit l’expert en sécurité Brian Krebs dans un billet de blog. « Mais, je vais continuer à conseiller aux utilisateurs de désactiver Java s’ils ne l’utilisent pas ».
HB Moore, le créateur du kit de piratage Metasploit, estime qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.
Il est clair qu'Oracle devra attendre longtemps avant de restaurer la confiance secouée en la fiabilité du plug-in Java.
Télécharger Java 7 Update 11
Source : Oracle, Reuters, Krebs On Security
Oracle sort un correctif d'urgence pour la faille Java
Les experts en sécurité sceptiques, maintiennent la désactivation du plugin
Oracle sort un correctif d'urgence pour la faille Java
Les experts en sécurité sceptiques, maintiennent la désactivation du plugin
Le , par Hinault Romaric
Une erreur dans cette actualité ? Signalez-nous-la !