Oracle a publié une mise à jour critique pour Java, hors de son cycle habituel réservé aux correctifs. L’éditeur veut colmater une brèche curieuse, pas nécessairement simple à exploiter, mais qui peut compromettre intégralement la machine si exploitée.
Même si l’intensité de l’actualité a diminué autour de la sécurité de Java, notamment grâce à la mise en place d’un cycle mensuel pour les correctifs, il arrive encore à la technologie de faire parler d’elle. C’est le cas aujourd’hui avec un bulletin critique hors cycle au sujet d’une faille touchant l’installeur de Java pour les versions 6, 7 et 8.
Cette faille, identifiée par la référence CVE-2016-0603, n’est pas simple à exploiter. D’une manière ou d’une autre, un pirate doit enjoindre un utilisateur de récupérer un exécutable d’installation de Java et lui faire lancer. Un peu d’ingénierie sociale devrait aider, quitte à maquiller l’installeur en autre chose. La faille ne peut être exploitée que durant la phase d’installation, mais si le pirate y arrive, il peut obtenir le contrôle de la machine.
La brèche ne peut pas être exploitée à distance véritablement puisqu’elle requiert l’intervention « volontaire » de la victime. Cependant, même ainsi, Oracle considère tout de même la faille suffisamment sérieuse pour nécessiter un bulletin hors cycle, le conseil qui l’accompagne est cependant inusité car il n’est même pas recommandé de mettre à jour Java. Le problème résidant dans l’installeur, il faut simplement penser à récupérer l’exécutable pour être certain d’avoir la dernière révision en cas de réinstallation.
Les trois dernières versions majeures ont été mises à jour. Si vous téléchargez l’exécutable, il faut donc vous assurer qu’il s’agit bien à chaque fois du dernier en date :
- Java 8 Update 79
- Java 7 Update 97
- Java 6 Update 113
Comme indiqué par Eric Maurice sur le blog d’Oracle, toutes les versions précédentes sont vulnérables.
