On aurait pu croire une fois l’année 2012 de passée qu’Oracle aurait du répits avec Java, mais il faut croire que non ! Alors que nous avions gentiment mis de côté ce dernier en fin d’année dernière avec la publication de la version 10 de son update – Java 7 Update 11, sachez qu’aujourd’hui Oracle vient de publier Java 7 Update 17 !
Quelques heures donc après que cinq nouvelles vulnérabilités ont été trouvées au sein de Java par Security Explorations, ce lundi Oracle a annoncé la sortie de Java 7 Update 17 pour répondre à deux vulnérabilités distinctes. Le patch est en cours de déploiement car Oracle a appris l’une des failles était « activement exploitée par des hackers afin de malicieusement installer l’exécutable McRat sur les machines des utilisateurs peu méfiants ».
Alors que la dernière mise à jour était la version 15, ne pensez pas qu’Oracle a tout corrigé en deux mises à jour de sécurité distinctes, c’est tout simplement que les mises à jour de sécurité sont toujours dévoilées en nombre impair. Si vous utilisez le plugin, vous pouvez télécharger la dernière mise à jour dès maintenant partir du panneau de configuration Java ou directement depuis le site d’Oracle ici : Java SE 7u17.
La vulnérabilité déjà exploitée a été découverte la semaine dernière par la firme de sécurité FireEye, qui a déclaré qu’elle avait été utilisée « pour attaquer des multiples clients ». Oracle a admis avoir reçu des rapports de bugs (avant qu’il ne soit exploité) le 1e février dernier. La société avait déclaré à ce moment qu’il était « malheureusement trop tard pour que le correctif soit inclus dans la version du 19 février » – Java 7 Update 15 corrigeait alors cinq autres vulnérabilités.
Voici la justification d’Oracle :
The company intended to include a fix for CVE-2013-1493 in the April 16, 2013 Critical Patch Update for Java SE (note that Oracle recently announced its intent to have an additional Java SE security release on this date in addition to those previously scheduled in June and October of 2013).
However, in light of the reports of active exploitation of CVE-2013-1493, and in order to help maintain the security posture of all Java SE users, Oracle decided to release a fix for this vulnerability and another closely related bug as soon as possible through this Security Alert.
C’est la première fois que nous entendons parler de la seconde vulnérabilité, mais il semble que les deux soient étroitement liées car elles font référence au même composant 2D de Java SE. Attention, la faille ne concerne pas Java embarqué dans les navigateurs Internet, ce qui signifie que les vulnérabilités ne peuvent être exploitées que sur des ordinateurs via des applications Java Web Start ou des applets Java, ce qui sont généralement les deux principales cibles des pirates.
Alors qu’il est recommandé et nécessaire de télécharger ce patch afin de sécuriser votre ordinateur contre cette nouvelle menace d’attaques, certains experts de la technologie renouvellent leurs appels afin d’abandonner entièrement Java. Ainsi, qu’il s’agisse de votre ordinateur à la maison ou sur votre lieu de travail, il est fortement envisagé de désactiver Java dès lors qu’un nouvel exploit est détecté, et ce jusqu’à ce qu’un patch soit rendu public par Oracle. Mais, il semble peu probable que cette nouvelle faille de sécurité soit connue du grand public…
Quoiqu’il en soit, il ne fait pas bon d’être développeur chez Oracle !