Depuis l'année passée, Java est souvent tombé sous le feu de la critique de plusieurs chercheurs dans le domaine de la sécurité, qui s'inquiétaient au vu des attaques successives réussies et généralisées exploitant le zero day des vulnérabilités dans les plugin de Java pour compromettre les ordinateurs.
Nandini Ramani, chef de l'équipe de développement logiciel responsable de la plateforme Java, a expliqué dans un billet blog les grandes lignes des mesures prévues par Oracle pour améliorer la sécurité de sa plateforme.
Dans l'optique de se défendre contre l'introduction de nouvelles vulnérabilités dans la base de code Java, « l'équipe de développement Java a élargi l'utilisation des outils de tests de sécurité automatisés, facilitant une couverture régulière sur de grandes sections de codes de la plateforme Java » explique-t-elle.
Cette action a été menée probablement pour répondre à l'une des préoccupations des chercheurs qui estimaient que, compte tenu du grand nombre de vulnérabilités critiques qui ont été trouvées dans la plateforme, Java 7 avait un manque apparent de propre examen de la sécurité de son code source.
De nouveaux niveaux de sécurité et d'avertissements pour les applets Java ont été introduits dès Java 7 Update 10 et Java 7 Update 21 respectivement, note Ramani. « Dans un futur proche, par défaut, Java n'autorisera plus l'exécution de code non signé ou auto-signé » explique-t-elle. La plupart des exploits Java étant livrés sous forme d'applets Java non signés, cette décision stratégique prend tout son sens.
La compagnie travaille également sur l'ajout d'une fonctionnalité de gestion centralisée des listes blanches Java à destination des entreprises. Le but est de les aider à contrôler quels sites sont autorisés à exécuter des applets Java dans leurs navigateurs.
Ramani souligne que les problèmes affectant l'utilisation de Java côté client n'ont généralement pas d'impact sur Java côté serveur. Pourtant, Oracle a constaté que la publication des vulnérabilités affectant Java lors de son exécution sur les navigateurs web a provoqué la panique des organisations utilisant Java s'exécutant sur leurs serveurs.
Pour éviter que ce genre de scénario se reproduise, la compagnie prévoit de dissocier désormais l'utilisation client/navigateur de Java et l'utilisation serveur de Java ; Java 7 Update 21 viendra donc avec un nouveau type de distribution Java : « Server JRE ». De plus, cette dernière n'aura pas de plugin pour réduire le risque d'attaques en surface.
Source : blog Oracle
Et vous ?
Ces améliorations seront-elles suffisantes pour faire remonter la confiance des utilisateurs en la sécurité de sa plateforme ?
Java : Oracle dévoile sa feuille de route pour renforcer la sécurité de sa plateforme.
Que pensez-vous de ces nouvelles mesures ?
Java : Oracle dévoile sa feuille de route pour renforcer la sécurité de sa plateforme.
Que pensez-vous de ces nouvelles mesures ?
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !