Nous vous informions hier qu’une faille Java, connue par Oracle depuis avril dernier, était désormais exploitée. Alors qu’Oracle ne communiquait pas sur le sujet, la firme propose désormais un correctif.
Pour rappel, hier encore Oracle n’affichait aucune information au sujet de cette faille critique. Seule apparaissait la prochaine mise à jour prévue pour le 12 octobre, et corrigeant un lot de failles. Mais l’éditeur a changé d’avis : un correctif est en distribution depuis hier soir contre la fameuse brèche... mais pas seulement.
Sur le site d’Oracle, la mise à jour contient plusieurs bulletins. L'un cible la fameuse faille CVE-2012-4681 dont on apprend qu'elle est en réalité double. L’éditeur en profite pour lui adjoindre trois autres correctifs qui changent le périmètre d’application de l’ensemble. En effet, les failles CVE-2012-4681 ne concernaient que Java 7 (ou 1.7), alors que cette vague de correctifs touche également Java 6.
Conséquence : de très nombreuses machines doivent être mises à jour. En raison d’une exploitation déjà active des failles et de la « divulgation publique de détails techniques », Oracle recommande l’installation aussi rapidement que possible. Les utilisateurs vont donc voir apparaître un signalement de Java pour leur indiquer la disponibilité de la mise à jour, du moins s'ils ont Windows.
Cependant, que vous ayez Windows ou un autre OS, nous vous recommandons de récupérer directement et sans attendre l’exécutable correspondant à votre version. Il vaut mieux d'ailleurs récupérer la dernière mouture de Java 7 (estampillée Update 7), d’autant qu’Oracle a récupéré la souveraineté de sa technologie sous OS X. Le téléchargement se fait directement ou via un assistant (sous Windows) et peut peser jusqu'à 50 Mo en fonction du système.
Sachez enfin que vous pouvez tout simplement supprimer Java si vous ne l'utilisez jamais. Les sites s'en servant sont devenus très rares, la technologie étant nettement plus utilisée dans le cadre de la mobilité, ou pour certains jeux tels que Minecraft. De manière générale, les composants non utilisés devraient être désinstallés pour réduire la surface de code exposée.
