Oracle : bulletin géant de sécurité et troubles autour de Java

La situation n'est pas près de changer
00
Vincent Hermann
Par Le vendredi 19 avril 2013 à 08:04

Oracle a publié un immense bulletin de sécurité corrigeant pas moins de 128 failles. Il s’agit pour l’éditeur du CPU (Critical Patch Update) d’avril et d’arroser l’ensemble des produits touchés par des failles de sécurité. C’est notamment le cas de Java qui, à lui seul, concerne 42 des correctifs.

java

Une majorité de failles exploitables à distance  

Le dernier bulletin correctif d’Oracle ne passe pas inaperçu : 128 brèches de sécurité réparties sur plusieurs produits de la firme. On retrouve ainsi Fusion Middleware, touché par 29 failles dont 22 sont exploitables à distance. Business Suite est concerné par 6 failles, toutes exploitables à distance, tandis que MySQL est touché par 25 failles, dont une seule exploitable à distance, mais sans requérir d’authentification.

 

Voici la liste des autres produits touchés par des failles :

  • Database Server : 4 failles, toutes exploitables à distance sans authentification
  • Supply Chain Products Suite : 3 failles, dont une exploitable à distance sans authentification
  • PeopleSoft Products : 11 failles, dont 6 exploitables à distance sans authentification
  • Siebel CRM : 8 failles, dont une exploitable à distance sans authentification
  • Industry Applications : 3 failles
  • Financial Services Software : 18 failles, dont une exploitable à distance sans authentification
  • Primavera Products Suite : 2 failles, dont une exploitable à distance sans authentification
  • Support Tools : 1 faille

Le souci principal n’est en fait pas tant le nombre de failles corrigées que le pourcentage d’entre elles exploitable à distance, surtout sans aucune authentification.

Java : la situation n'est pas prête de s'améliorer 

Le festival continue évidemment avec Java. La technologie est régulièrement sous les feux des projecteurs depuis plusieurs mois à cause d’un problème inhérent à la qualité de son code. Ce ne sont ainsi pas moins de 42 brèches qui sont corrigées et il est recommandé aux utilisateurs de mettre leur version à jour aussi rapidement que possible. L’écrasante majorité de ces failles sont considérées comme critiques et sont exploitables à distance, là encore sans authentification préalable.

 

Ross Barrett, responsable de l’ingénierie chez le spécialiste de la sécurité Rapid7, a au sujet de Java un avis pessimiste. Il met en garde : « Les administrateurs et utilisateurs doivent réaliser que le bon sens en ce qui concerne la sécurité et les précautions autour du plug-in Java ne va pas changer avec ce patch, le suivant ou celui d’après. En tant que plug-in web, Java a de nombreux problèmes non résolus, dont la plupart sont révélés à Oracle par des chercheurs responsables qui font essentiellement le travail d’assurance qualité d’Oracle, de manière régulière et gratuitement ».

 

Son point de vue est évident : si des chercheurs sont capables de trouver autant de failles critiques et dangereuses, des pirates motivés par l’appât du gain en feront de même, sinon davantage. De fait, Java doit être considéré comme vulnérable encore pendant un temps, durant lequel Oracle continuera ses travaux. Un avis partagé par Wade Williamson, analyste chez Palo Alto Networks : « Pour beaucoup d’entreprises, les récompenses de Java ont considérablement diminué avec les années, alors que les risques ont augmenté exponentiellement. Alors de nombreuses entreprises vont devoir examiner longuement et attentivement Java pour savoir si le jeu en vaut la chandelle ».

Désactiver Java dans le navigateur 

Sur la plupart des machines des utilisateurs « classiques », Java est pour rappel inutile. Les sites l’utilisant sont rarissimes, mais certaines applications s’en servent encore. On citera d’ailleurs deux exemples populaires : l’excellent PS3 Media Server (transcodage vidéo et diffusion DLNA) et le jeu Minecraft. Dans un cas comme dans l’autre, cela n’empêche pas de désactiver la présence de Java au sein du navigateur, car c’est bien ce dernier qui se retrouve être le vecteur d’attaque le plus fréquent, via des pages web spécialement conçues.

 

Pour rappel, le panneau de configuration java contient une option pour activer ou désactiver le plug-in web du navigateur. L’option se trouve dans l’onglet Sécurité :

 

java

Ce contenu est en accès libre

La rédaction vous offre l'accès à cet article, l'abonnement finance le travail de notre équipe de journalistes

Déjà membre ? Connexion
nxi premiumDécouvrez l'offre Premium
Abonnement Professionnel
OFFRE DÉCOUVERTE
0,99 €Pour 48h d'abonnement
SANS ENGAGEMENTDésabonnement possible à tout moment
8 €Paiement mensuel
1 ANBénéficiez de 2 mois offerts
80 €soit 6,67 € par mois
2 ANSBénéficiez de 6 mois offerts
144 €soit 6,00 € par mois

2000 - 2023 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0326 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact

abonnez-vousS'abonner

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

ABONNÉS

7422

Abonnez-vous
à partir de 6,00 € / mois
Faire un don défiscalisable
Nos catégories
Composants Culture Numérique Droit Économie IH Internet Logiciel Mobilité Périphériques Réseau Systèmes Tech #LeBrief Next INpact
Nos rubriques
Dossiers Guides Tests Tutoriels Accès Libre Flock
Nous suivre
Flux RSS Newsletter Facebook LinkedIn Twitter Youtube
Nos services
Bons plans Boutique de Goodies
Nos partenaires
Tous Les Forfaits
La communauté et le site
Contact Dons défiscalisables Discord Forums Déontologie Vie privée GitHub Votre compte Règles de modération Vos commentaires