Oracle a réparé la faille zero-day exploit de Java

Après l’énorme impact médiatique qui a suivi la divulgation complète de la vulnérabilité de Java 7 Update 10, de nombreuses organisations nationales et internationales ont commencé à recommander à leurs lecteurs de désinstaller Java (BSI d’Allemagne, US-Cert). Oracle ne pouvait pas rester là à regarder comment ses parts de marché étaient en train de disparaître et a commencé ce week-end à travailler sur une solution qui est maintenant disponible pour tous.

Veuillez corriger l’installation de Java avec la dernière version, la version Java 7 Update 11.

Ce communiqué contient les correctifs pour ces célèbres failles de sécurité que nous avons déjà mentionnées. Oracle a également écrit ceci à ce sujet : Alerte de Sécurité d’Oracle pour CVE-2013-0422.

Parmi les correctifs, nous avons résolu trois autres problèmes :

  • Paramètre du niveau de sécurité réglé par défaut sur élevé
  • Le panneau de configuration Java ne montre pas le curseur du niveau de sécurité
  • Les problèmes d’enregistrement des plug-ins sur les systèmes des versions autonomes installées de JavaFX

Je ne sais pas aujourd’hui si ces correctifs ont quelque chose à voir avec CVE-2013-0422, mais selon la description d’Oracle il semble qu’au moins le premier correctif est un rapport.

Les bases de sécurité pour l’environnement d’exécution Java (JRE) au moment de la publication de JDK 7u11 sont indiquées dans le tableau suivant :

Version Familiale JRE Bases de sécurité JRE
(chaîne de caractères complète)
7 1.7.0_11
6 1.6.0_37
5.0 1.5.0_38
1.4.2 1.4.2_40

Si vous avez Java 6, vous trouverez ici plus de détails sur la mise à jour.

Si possible, je vous suggère fortement de désinstaller toutes les versions antérieures de Java et d’installer seulement la dernière.

Alors, est-ce la fin de cette escalade de problèmes ? Non, loin de là.

Nous avons vu qu’Oracle était en mesure de travailler rapidement et sous la pression énorme à l’échelle internationale. C’est une bonne chose, mais ceux qui savent comment le développement de logiciels fonctionne sauront également que le développement de logiciels critiques sous pression ne provoque qu’une seule chose : encore plus de bugs.

C’est pourquoi nous vous recommandons de maintenir Java désactivé sauf si vous en avez expressément besoin pour votre travail. Essayez d’utiliser un navigateur avec Java activé pour les applications Java dont vous avez besoin et un autre navigateur sans Java pour un usage quotidien.

Après avoir effectué l’installation, vous pouvez contrôler la version de Java en visitant cette page.

 

Sorin Mustaca

Expert en sécurité IT