Pour gérer vos consentements :
Categories: Cloud

Sécurité IT : la santé de Java reste fragile

On croyait Java remis d’aplomb.

Il n’en est rien, à en croire le département de la sécurité intérieure des Etats-Unis et les nombreux experts qui se sont penchés sur la question.

Les inquiétudes portent sur le correctif qu’Oracle a déployé ce lundi en réponse à la découverte, la semaine passée, d’une faille de type 0-day dans l’environnement Java Standard Edition 7 (Update 9 et Update 10).

Il semble que cet antidote diffusé à la hâte n’ait pas tout à fait l’effet escompté.

Le patch agirait partiellement, résorbant bel et bien certaines vulnérabilités, notamment grâce au blocage par défaut l’exécution d’applets non signés.

En tête de liste, le bug objet de toutes les attentions n’est plus. Il se logeait dans la nouvelle API Reflection.

Pour autant, au moins une brèche resterait grande ouverte aux pirates informatiques. Elle ressortirait à la méthode « findClass » de la classe MBeanInstantiator (CVE-2013-0422).

S’y infiltrer ne suffit plus à enclencher l’exploit permettant d’injecter du code arbitraire à distance via une page Web malveillante, mais il suffirait à l’assaillant d’y combiner une autre faille 0-day pour réactiver le processus.

Face à cette situation, les équipes de la cellule américaine US-CERT recommandent d’appliquer le principe de précaution, à savoir désactiver le plugin Java.

Un avis partagé par Security Explorations, qui s’est confié en ce sens à Reuters.

Les experts de Rapid7 sont plus catégoriques encore.  « Le plus sûr est de considérer que Java restera perpétuellement vulnérable« , résument-ils.

En France, le son de cloche diffère sous la houlette de la CERTA, qui privilégie un rétropédalage vers Java 6 Update 38.

Oracle n’en est plus à ses premières tribulations sur le dossier. Les correctifs ponctuels se multiplient et paraissent à une fréquence autrement plus soutenue que le cycle trimestriel de mise à jour.

L’éditeur peut-il se borner à attendre cette livraison trimestrielle pour corriger les problèmes de Java ou doit-il changer son fusil d’épaule ?

—— A voir aussi ——
Quiz ITespresso.fr : la sécurité sur Internet n’a pas de secret pour vous ?

Crédit photo : Michael Pettigrew – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

2 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago