Si Oracle s’est fait du mouron la semaine dernière lorsque les chercheurs ont identifié une faille de sécurité au sein de leur logiciel, Java, permettant à des hackers d’exécuter à distance du code malveillant exploité « à l’état sauvage », la société a tout de même pris le problème très au sérieux et a publié très rapidement un patch.
En effet, dimanche soir Oracle a annoncé sur son blog la publication d’une nouvelle alerte de sécurité afin de fixer deux problèmes dans l’application. L’alerte de sécurité CVE-2013-0422, qui peut être téléchargée ici, permettra d’éviter les deux vulnérabilités pour lesquelles il était possible d’exécuter du code à distance. L’article de la compagnie confirme que les failles étaient présentes uniquement dans les versions Java 7 et n’ont aucune incidence sur les serveurs Java, les applications bureautiques Java, ou encore le code Java embarqué.
L’autre changement dans ce dernier patch, c’est que les paramètres de sécurité de Java sont désormais définis à « élevé » par défaut. Cette modification signifie que le propriétaire de l’ordinateur doit autoriser directement l’exécution des applets non-signées ou auto-signées. Autrement dit, il sera informé si un site malveillant tente d’exécuter une applet et peut stopper l’exécution de cette dernière avant qu’elle ne s’attaque à la machine. Le panneau de configuration Java accessible depuis l’update 10 de la dernière version de Java, peut également permettre aux utilisateurs de faire tourner le logiciel au sein et en dehors de leurs navigateurs.
Alors qu’il est recommandé et nécessaire de télécharger ce patch afin de sécuriser votre ordinateur contre cette nouvelle menace d’attaques, la découverte de l’exploit zero-day de la semaine dernière a conduit certains experts de la technologie de renouveler leurs appels afin d’abandonner entièrement Java.
La vulnérabilité zero-day utilise une faille jusqu’ici méconnue du public, qui est susceptible d’engendrer la création d’un ver car, par définition, la grande majorité des utilisateurs ne sera pas protégée contre cette faille jusqu’à ce qu’elle soit découverte et corrigée.
Ainsi, qu’il s’agisse de votre ordinateur à la maison ou sur votre lieu de travail, il est fortement envisagé de désactiver Java dès lors qu’un nouvel exploit est détecté, et ce jusqu’à ce qu’un patch soit rendu public par Oracle. Mais, il semble peu probable que cette nouvelle faille de sécurité soit connue du grand public…
Selon InformationWeek, Oracle a prévu de libérer un autre patch ce mardi. Soyez prêt à devoir mettre à jour Java régulièrement cette semaine si vous êtes un gros consommateur de l’application…
Bon on arrête d’utiliser Java oui ou non ?