Pour gérer vos consentements :
Categories: Cloud

Sécurité IT : Oracle reste au chevet de Java

Oracle ratisse large avec sa mise à jour de sécurité trimestrielle « Critical Patch Update« , qui résorbe 120 vulnérabilités dans 13 gammes de produits, dont 42 failles dans le seul greffon Java pour navigateurs Web.

Quelle stratégie appliquer pour diffuser efficacement tous ces correctifs à l’échelle d’une entreprise ?

Il convient de prioriser les services exposés sur Internet et les brèches considérées comme les plus critiques (score élevé sur une échelle de 10).

Telles sont les principales recommandations de Qualys. L’éditeur spécialiste de la sécurité informatique suggère par ailleurs de s’intéresser en premier lieu aux failles exploitables à distance.

Illustration avec deux des 16 vulnérabilités qui frappent le système d’exploitation Solaris, ainsi que celle qui touche Outside-In, cette composante d’Oracle Fusion utilisée notamment par Microsoft Exchange Server.

Le déploiement des autres correctifs, notamment ceux applicables à la base de données MySQL (score maximal de 6,9), pourra s’effectuer dans un second temps. Même réflexion pour les autres produits concernés : Peoplesoft, Supply-Chain, E-Business et CRM.

Oracle confirme avoir comblé l’ensemble des trous de sécurité qui font ou ont fait l’objet d’une exploitation active par des cyber-criminels, généralement via des pages Internet malveillantes, pour transmettre du code à distance.

Certaines portes dérobées découvertes le mois dernier par les hackers de la convention PWN2OWN sont elles aussi refermées pour l’occasion.

Mais le centre d’attention reste la mise à niveau de l’environnement Java SE (6u45 et 7u21), qui résorbe, d’une traite, 42 failles, dont 19 jugées hautement critiques.

Principale nouveauté : l’introduction d’états de sécurité distinctifs. Par défaut, un site ne pourra plus commander l’exécution d’une applet Java non signée.

Les applications autonomes et les instances exécutées sur serveur ne sont pas concernées.

Seul l’est le greffon Web, dont la santé reste fragile, malgré des soins prodigués à répétition.

Selon Kaspersky, Java est devenu en 2012 le vecteur numéro un des attaques informatiques (50% des cas), détrônant Adobe Reader (28%).

Oracle a effectivement fort à faire sur ce dossier, plus encore depuis quelques mois, face à cette vague d’offensives qui ont frappé des sites médias, des groupes Internet et de grands noms de l’IT – Apple, par exemple.

La cellule américaine US-CERT campe d’ailleurs toujours sur ses positions en recommandant de désactiver purement et simplement le greffon dans la mesure du possible.

—— A voir aussi ——
Quiz ITespresso.fr : savez-vous naviguer en sécurité sur Internet ?

Crédit photo : Oleksiy Mark – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

23 heures ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago