50 failles Java corrigées en avance par Oracle

L’environnement Java subit depuis quelques mois de nombreuses failles qui lui donnent particulièrement mauvaise presse. Alors que les semaines passent et que de nouvelles brèches n’en finissent plus d’être découvertes, Oracle a décidé d’avancer de deux semaines la publication d’une importante mise à jour.

C’est donc avec deux semaines d’avance qu’Oracle diffuse la mise à jour 13 pour Java 7. Initialement programmée pour le 19 février, elle est littéralement sortie des rails du cycle mensuel habituel. La raison est simple : les failles de sécurité s’accumulent, pour la plupart critiques, et aucun correctif n’est présent alors que leurs exploitations ont déjà été signalées.

La mise à jour proposée, que l’on peut récupérer sur le site de Java ou depuis le panneau de gestion dans le système d’exploitation, est donc critique. Elle corrige pas moins de 50 failles, mais toutes ne concernent pas directement l’environnement d’exécution Java proprement dit. Il s’agit d’un package comprenant notamment des correctifs pour 11 failles de JavaFX. En outre, cette grande mise à jour ne touche pas nécessairement qu'à la version 7 du JRE.

Oracle indique sur son site que sur les 50 failles corrigées, 49 peuvent l’être de manière distante. Cela se fera sur une page spécialement conçue pour l’occasion et via un applet Java ou une application Java Web Start. L'éditeur précise cependant que l’impact des failles peut être amoindri si l’utilisateur dispose de droits limités, et n’est donc pas administrateur de sa machine.

Signalons également que depuis la mise à jour 11, l’exécution des contenus Java se fait en sécurité « haute » et que chaque exécution d’une application ou d’un applet demande à l’utilisateur une confirmation.

Le fait qu’Oracle ait brisé son rythme habituel pour avancer sa mise à jour montre l’urgence de la situation. Les actualités autour de la sécurité de Java créent actuellement un déficit lourd en termes d’image. D’un strict point de vue utilisateur cependant, la question de l’image n’intervient pas. Nous rappellerons donc que si vous n’avez pas besoin de Java, autant le désinstaller. Il ne s’agit d’ailleurs pas d’une règle spécifique au produit d’Oracle : quand un produit n’est pas utile, il n’a pas besoin de rester. Cela réduit la surface d’attaque ainsi que le nombre de composants à mettre à jour régulièrement.

Si vous utilisez Java pour des besoins spécifiques, comme c’est le cas pour les joueurs de Minecraft, sachez que le panneau de gestion permet de le désactiver uniquement dans les navigateurs, ce qui représente ici le vrai problème. Pour cela, rendez-vous dans panneau de configuration et appuyez sur « j » dans le champ de recherche pour faire apparaître Java. Une fois dans la fenêtre ouverte, allez dans l’onglet Sécurité puis désactiverz la case « Activer le contenu Java dans le navigateur ». Ainsi, le butineur ne pourra plus exécuter aucun contenu Java, mais l’environnement restera actif pour les applications qui en ont besoin.

Enfin, en illustration d'une actualité précédente, on ne pourra s'empêcher de remarquer que cette mise à jour 13 s'installe en proposant, encore une fois, d'installer la barre Ask. Il serait temps qu'Oracle fasse l'effort d'intégrer un paramètre pour sauvegarder, une fois pour toutes, le choix initial de l'utilisateur.