Il y a quelques jours, la société de sécurité FireEye révélait une nouvelle faille de type 0-day dans Java. Pas de temps à perdre pour son éditeur, Oracle, qui diffuse aujourd’hui une mise à jour en urgence pour colmater la brèche. Une rapidité qui ne peut plus compenser la débâcle de ces derniers mois.
Depuis plusieurs mois, l’actualité autour de Java concerne essentiellement les multiples failles de sécurité qui y sont détectées. Beaucoup étaient de type 0day et elles étaient donc déjà exploitées activement lors de leur découverte. Il y a quelques jours, la société de sécurité FireEye a découvert une autre de ces brèches, avertissant dans la foulée Oracle de son caractère critique.
Les deux chercheurs à l’origine de la découverte, Darien Kindlund et Yichong Lin, ont indiqué dans un billet dédié que la faille pouvait être exploitée sur les versions les plus récentes de l’environnement Java, à savoir les 1.6 Update 41 et 1.7 Update 15. La faille est d’autant plus critique qu’elle est déjà exploitée de manière automatisée par le cheval de Troie McRat. Ce dernier peut s’installer sur la machine de l’utilisateur via une page web spécialement conçue d’une version vulnérable du plug-in Java dans le navigateur.
Il n’aura fallu cependant que quelques jours à Oracle pour colmater la brèche. Il s’agit véritablement d’un patch d’urgence déployé aussi bien pour Java 6 que pour Java 7, en passant par l'ancien Java 5 Update 40. Oracle précise sur son site web que le correctif s’occupe de plusieurs vulnérabilités et qu’il ne concerne pas les installations classiques de Java, le composant serveur ou encore les applications embarquées. Seul le plug-in pour les navigateurs est touché.
Les utilisateurs concernés peuvent récupérer le patch depuis le site officiel de l’éditeur.
On rappellera cependant (encore une fois) que les utilisateurs qui ne se servent jamais de Java ont tout intérêt à le désinstaller. Ceux qui en ont encore besoin, pour des questions de développement logiciel, ou plus simplement pour jouer à Minecraft, peuvent tout de même désactiver le plug-in dans le navigateur. Cette coupure peut se faire de manière centralisée depuis le panneau de configuration Java.
