Oracle sort Java 7u13
Un correctif d'urgence pour 50 failles de sécurité, dont 26 critiques

Le , par Hinault Romaric

0PARTAGES

1  0 
Mise à jour du 05/02/2013

Oracle s’était engagé il y a quelques jours à corriger Java et à mieux communiquer sur la plateforme de développement.

Alliant l’acte à la parole, l’éditeur vient de publier un correctif d’urgence pour les failles de sécurité qui ont secoué l’écosystème Java ces derniers mois.

Java 7 update 13 apporte des patchs pour environ une cinquantaine de vulnérabilités, dont 26 sont classées critiques. Elles peuvent être exploitées pour exécuter du code arbitraire à distance et installer des applications malveillantes sur le poste d’un utilisateur.

Le correctif était initialement prévu pour le 19 février, mais Oracle a dû rompre avec son cycle de mise à jour habituel parce que l’une des failles était activement exploitée.

Quarante-quatre des failles sont exploitables via des applets Java ou des applications Java Web Start s’exécutant dans le navigateur. Une vulnérabilité affecte le processus de déploiement du client Java. Trois failles touchent à la fois Java côté client et serveur.

Oracle recommande l’application immédiate de cette mise à jour importante. Il est conseillé aux personnes n’utilisant pas le plug-in Java dans le navigateur de le maintenir désactivé.

Télécharger Java 7u13

Source : Oracle

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 05/02/2013 à 11:12
Bien, au moins l'intention est là. Oracle va finir par regagner la confiance de ses utilisateurs en poursuivant de la sorte.
Avatar de ticNFA
Membre confirmé https://www.developpez.com
Le 05/02/2013 à 12:17
Quid de Java 6 ?
Les premières failles montrant qu'il était aussi concerné (ainsi que Java 5 ?).
Avatar de bouye
Rédacteur/Modérateur https://www.developpez.com
Le 05/02/2013 à 12:36
A moins de participer à un programme de support payant auprès d'Oracle, ça m'étonnerai que des maj de sécurité supplémentaires majeures soient publiées pour Java 6 vu qu'on est déjà arrivé dans le mois après lequel le support gratuit arrive à son terme (février 2013). Donc si rien ne sort dans les 3 semaines à venir, c'est qu'il est peut-être temps de changer de version de la JVM.

Le support commercial lui va jusqu'en décembre 2016.
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 05/02/2013 à 14:09
Citation Envoyé par Hinault Romaric Voir le message
Trois failles touchent à la fois Java côté client et serveur.
Quelqu'un a des détails là dessus, j'ai besoin de savoir si il est nécessaire d'upgrader nos serveurs ou si les vecteurs en question ne nous concernent pas.
Avatar de bouye
Rédacteur/Modérateur https://www.developpez.com
Le 06/02/2013 à 23:01
Concernant le blocage par Apple, pourtant plusieurs sources indiquent bien que c’était aussi les applications desktop qui étaient bloquées.
M'est donc plus avis que c’était surtout les applications Web Start, y compris celles tournant hors du navigateur en plus des Applets.

A noter le gros troll a la fin de l'article :

Sydney security expert Chris Gatford, of HackLabs, said Java was a "dying technology" and that from a security perspective it had been used by malware writers for quite some time to exploit computer systems.

He said it was a "highly recommended practice" to turn it off.

"So given that it's been around for a while and it has been used as a mechanism to exploit systems, I think it's good that [Apple] are thinking about turning things off that aren't needed," Mr Gatford said.

"This is a little bit of pain for perhaps a better security environment for the average home user because it's probably going to affect them most. It's going to be difficult, there's going to be pain. But ultimately it's better in the long term. But I imagine there's going to be some short term pain and a lot of people squealing.
Avatar de benoit123456
Futur Membre du Club https://www.developpez.com
Le 06/02/2013 à 23:55
Bonjour,

J'utilise un site de bourse en ligne et je n'ai plus les flux en temps réel depuis ce problème.
Que puis je faire ?Pouvez vous m'aider ?

Cdt,
Avatar de bouye
Rédacteur/Modérateur https://www.developpez.com
Le 07/02/2013 à 0:43
OS ? Navigateur ? version de Java ?

A part mettre a jours vers 1.7.0_u13 et contacter l’éditeur du soft, du navigateur et/ou de l'OS, pas beaucoup d’idée.
Avatar de bouye
Rédacteur/Modérateur https://www.developpez.com
Le 11/02/2013 à 22:57
La mise a jour du 19 février contiendra les autres correctifs de sécurité qui n'ont pas pu être intégrés dans la maj du 1er février compte tenu de l'urgence et de la précipitation dans lesquelles elle a été publiée.

Updates to February 2013 Critical Patch Update for Java SE
Avatar de bouye
Rédacteur/Modérateur https://www.developpez.com
Le 19/02/2013 à 22:33
Sortie de la maj de sécurité de mi-février avec :



Attention pour les utilisateurs de Java 6 :

Auto-update and Manual Update of JRE 6 will Replace JRE 6 with JRE 7

Since JRE 6 has reached its End of Public Updates, Oracle is taking steps to protect consumer desktops. Oracle will not leave a version of Java installed for which Oracle no longer provide security updates.

In order to do so, when updating from JRE 6, the update mechanism will not only install the latest version of JRE 7 but will also remove the highest version of JRE 6 on the system. This change will happen when the system is updated via the auto-update mechanism or by checking for updates directly from the Java Control Panel. For more information, read the Java SE 7 Update 15 Release Notes.
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 26/02/2013 à 22:19
Hohoho J-1 avant de voir les forums à nouveau envahis de "je déteste oracle qui désinstalle java sans prévenir"
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web