On croyait Java remis d’aplomb.
Il n’en est rien, à en croire le département de la sécurité intérieure des Etats-Unis et les nombreux experts qui se sont penchés sur la question.
Les inquiétudes portent sur le correctif qu’Oracle a déployé ce lundi en réponse à la découverte, la semaine passée, d’une faille de type 0-day dans l’environnement Java Standard Edition 7 (Update 9 et Update 10).
Il semble que cet antidote diffusé à la hâte n’ait pas tout à fait l’effet escompté.
Le patch agirait partiellement, résorbant bel et bien certaines vulnérabilités, notamment grâce au blocage par défaut l’exécution d’applets non signés.
En tête de liste, le bug objet de toutes les attentions n’est plus. Il se logeait dans la nouvelle API Reflection.
Pour autant, au moins une brèche resterait grande ouverte aux pirates informatiques. Elle ressortirait à la méthode « findClass » de la classe MBeanInstantiator (CVE-2013-0422).
S’y infiltrer ne suffit plus à enclencher l’exploit permettant d’injecter du code arbitraire à distance via une page Web malveillante, mais il suffirait à l’assaillant d’y combiner une autre faille 0-day pour réactiver le processus.
Face à cette situation, les équipes de la cellule américaine US-CERT recommandent d’appliquer le principe de précaution, à savoir désactiver le plugin Java.
Un avis partagé par Security Explorations, qui s’est confié en ce sens à Reuters.
Les experts de Rapid7 sont plus catégoriques encore. « Le plus sûr est de considérer que Java restera perpétuellement vulnérable« , résument-ils.
En France, le son de cloche diffère sous la houlette de la CERTA, qui privilégie un rétropédalage vers Java 6 Update 38.
Oracle n’en est plus à ses premières tribulations sur le dossier. Les correctifs ponctuels se multiplient et paraissent à une fréquence autrement plus soutenue que le cycle trimestriel de mise à jour.
L’éditeur peut-il se borner à attendre cette livraison trimestrielle pour corriger les problèmes de Java ou doit-il changer son fusil d’épaule ?
—— A voir aussi ——
Quiz ITespresso.fr : la sécurité sur Internet n’a pas de secret pour vous ?
Crédit photo : Michael Pettigrew – Shutterstock.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…