Il y a quelques jours, la société de sécurité FireEye révélait une nouvelle faille de type 0-day dans Java. Pas de temps à perdre pour son éditeur, Oracle, qui diffuse aujourd’hui une mise à jour en urgence pour colmater la brèche. Une rapidité qui ne peut plus compenser la débâcle de ces derniers mois.
Depuis plusieurs mois, l’actualité autour de Java concerne essentiellement les multiples failles de sécurité qui y sont détectées. Beaucoup étaient de type 0day et elles étaient donc déjà exploitées activement lors de leur découverte. Il y a quelques jours, la société de sécurité FireEye a découvert une autre de ces brèches, avertissant dans la foulée Oracle de son caractère critique.
Les deux chercheurs à l’origine de la découverte, Darien Kindlund et Yichong Lin, ont indiqué dans un billet dédié que la faille pouvait être exploitée sur les versions les plus récentes de l’environnement Java, à savoir les 1.6 Update 41 et 1.7 Update 15. La faille est d’autant plus critique qu’elle est déjà exploitée de manière automatisée par le cheval de Troie McRat. Ce dernier peut s’installer sur la machine de l’utilisateur via une page web spécialement conçue d’une version vulnérable du plug-in Java dans le navigateur.
Il n’aura fallu cependant que quelques jours à Oracle pour colmater la brèche. Il s’agit véritablement d’un patch d’urgence déployé aussi bien pour Java 6 que pour Java 7, en passant par l'ancien Java 5 Update 40. Oracle précise sur son site web que le correctif s’occupe de plusieurs vulnérabilités et qu’il ne concerne pas les installations classiques de Java, le composant serveur ou encore les applications embarquées. Seul le plug-in pour les navigateurs est touché.
Les utilisateurs concernés peuvent récupérer le patch depuis le site officiel de l’éditeur.
On rappellera cependant (encore une fois) que les utilisateurs qui ne se servent jamais de Java ont tout intérêt à le désinstaller. Ceux qui en ont encore besoin, pour des questions de développement logiciel, ou plus simplement pour jouer à Minecraft, peuvent tout de même désactiver le plug-in dans le navigateur. Cette coupure peut se faire de manière centralisée depuis le panneau de configuration Java.
Commentaires (34)
#1
A quand la version 8 ?
#2
On rappellera cependant (encore une fois) que les utilisateurs qui ne se servent jamais de Java ont tout intérêt à le désinstaller. Ceux qui en ont encore besoin, pour des questions de développement logiciel, ou plus simplement pour jouer à Minecraft, peuvent tout de même désactiver le plug-in dans le navigateur.
Les utilisateurs qui ne se servent jamais de Java ne risquent rien, donc pas la peine de désinstaller :) . De toutes façons les failles touchent l’aspect applet Java, qui sont rarement utilisées il me semble (et qu’on peut désactiver comme écrit).
Un point n’est pas clair pour moi, ça touche autre chose que les plateformes Windows cette faille ?
#3
Java, la blague la plus longue de l’histoire de l’informatique!
" />
#4
#5
Sans foi sur le métier…
Pour ceux qui suivent l’évolution de Java, est-ce que le support/réactivité sur ces corrections était mieux du temps où ce n’est pas Oracle qui était aux manettes ?
#6
Microsoft doit être content
" />
Le début de la fin pour Java…
#7
#8
N’empêche que Oracle répond rapidement.
#9
Le meilleur remède à Java, c’est d’essayer de coder proprement avec. Et ensuite d’essayer .NET. Ou n’importe quoi d’autre en fait.
" />
#10
#11
#12
#13
#14
De toute façon l’évolution actuelle tend vers la disparition des applets Java et Flash au profit du full HTML 5. Ya qu’a regarder les derniers navigateurs, même IE 10 supporte énormément de fonctionnalités HTML 5. Dans quelques années tout ca ne sera plus qu’un mauvais souvenir … à moins que les failles des navigateurs prennent le relais
" />
#15
#16
Avec l’activation des plugins a la demande ça mitige aussi pas mal la portée de l’attaque, dommage que ça soit pas plus répandu
" />
#17
La MaJ se fait toujours avec la proposition de la Ask Bar ?
Si oui, je me pose la question de quand Oracle virera cette m… de son installateur parce qu’en ce moment, j’ai une vague de Pc infecté par un paquet de malware à cause de cette daube inclue dans les dernières MaJ de Java…
Remarquez, tant mieux, ça me fait des sous à dépanner ces Pc, mais bon, éthiquement… :(
#18
#19
#20
#21
#22
C’est bon JAVA désinstallé comme ça plus de faille
#23
#24
Oracle devrait racheter la VM Java développé par Google
#25
#26
#27
#28
Le grand intérêt de Java maintenant de toute façon, c’est JavaEE, donc exit le grand public.
#29
#30
#31
#32
Oracle corrige en urgence une faille critique de plus dans Java
o racle o desespoir o vieillesse ennemie
Java n’a pas une faille mais un tour noir, au moins chez eux les développeurs n’ont pas à craindre pour leurs emplois…..
#33
#34
OpenJDK, la dernière fois que j’ai regardé (y a longtemps), ct une archive de 80Mo de code c++ complètement tordu (avec la syntax objet du c++ je vous laisse imaginer les délires objets)
Faut pas venir chialer sur la présence d’innombrables failles dans le code c++. C’est pas gentil d’ajouter aux failles du C avec les libs systèmes et du kernel, celles du C++/java…