Nous vous prévenions vendredi qu’une faille critique dans Java était déjà exploitée et avait le potentiel de faire de nombreux dégâts. Oracle, visiblement conscient du caractère exceptionnel de la situation, a réagi promptement.
Vendredi 11 janvier, nous avertissions d’une faille critique dans Java, y compris dans la dernière mouture entièrement mise à jour (version 7 Update 10). Un applet Java conçu spécialement pour exploiter cette faille pouvait tromper le Security Manager pour provoquer une escalade dans les privilèges et ainsi obtenir les pleins pouvoirs. De fait, un simple site pouvait se transformer en distributeur de malwares en tous genres, notamment de keyloggers (enregistreurs de frappe).
Kaspersky indiquait par exemple avoir découvert une exploitation de plus en plus massive de la faille sur des sites tout ce qu’il y a de plus classique. La recette utilisée passe souvent par des publicités qui, une fois cliquées, renvoient vers des domaines hébergeant l’implémentation de la faille par un kit d’exploitation tel que Red Kit, Blackhole ou encore Nuclear. L’éditeur de solutions de sécurité a par ailleurs publié une carte montrant les zones les plus touchées. On notera que la Russie, les États-Unis ou encore l’Allemagne et le Brésil sont nettement plus touchés.
Toutefois, Oracle vient de mettre à jour Java via une mouture « Update 11 ». L’éditeur y apporte deux modifications. D’une part, la faille elle-même est colmatée, court-circuitant de fait l’ensemble des exploitations en cours. La nouvelle version peut se télécharger depuis le site officiel d’Oracle ou depuis le panneau de contrôle Java dans le panneau de configuration ou équivalent.
D’autre part, le niveau de sécurité par défaut de Java a changé. Il passe en effet de « Moyen » à « Élevé ». Cela modifie la manière dont les applets qui n’ont pas été signés seront exécutées dans la sandbox (espace mémoire isolé). Dans la pratique, et comme l’explique Oracle, les utilisateurs exécutaient les applets de manière transparente si la dernière révision de l’environnement Java était installée. Désormais, tout applet génèrera automatiquement un avertissement demandant à l’utilisateur une confirmation avant l’exécution.
On rappellera tout de même que Java est de moins en moins utilisé sur le web. De fait, si vous ne vous en servez pas, il vaut mieux le désinstaller, ce qui vaut techniquement pour n’importe quel élément : moins il y a de composants tiers sur un ordinateur, moins la surface de code exploitable est importante. Pour ceux qui auraient besoin de Java (les joueurs de Minecraft par exemple), il est possible de le désactiver uniquement pour le navigateur depuis son panneau de gestion, dans l’onglet Sécurité.
