Sécurité : Java est victime d’une faille critique sous Windows

Deux chercheurs en sécurité informatique, Tavis Ormandy et Ruben Santamarta, ont récemment détecté la présence d’une faille de sécurité qualifiée d’« extrêmement critique » au sein du Java Runtime Environment, rapporte GData.

Selon l’éditeur de solutions de sécurité, cette vulnérabilité n’est pour l’instant pas bloquée par les outils de sécurité intégrés à Windows 7 et Vista.

Cette faille est d’autant plus dangereuse qu’elle est susceptible de toucher tous les navigateurs, comme Internet Explorer, Firefox ou Google Chrome qui prennent en charge le plug-in Java Deployment Toolkit, module où siège cette vulnérabilité, installé automatiquement avec le Java Runtime Environment à partir de la version 6.10.

Cette faille de sécurité nichée dans le Java Deployment Tookit peut permettre à un pirate d’exécuter à distance du code arbitraire au lancement de Java Web Start, comme le souligne le CERTA (Centre d’expertise gouvernemental de réponse et de traitement des attaques informatique) dans un bulletin de sécurité qu’il vient de publier.

Pour éviter d’être touché par cette vulnérabilité, GData souligne que la désactivation du JavaScript n’est pas suffisante.

L’éditeur conseille, pour Internet Explorer, de placer un bit d’arrêt de classe ID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA pour l’ActiveX.

Concernant le navigateur Firefox, GData explique qu’il suffit de se rendre dans l’onglet « Outils », de choisir « Modules complémentaires », puis de se rendre dans l’onglet « Plug-in » pour désactiver le Java Deployment Toolkit.

De son côté, le CERTA conseille en plus de désactiver si possible le module Java Web Start et « de positionner des droits d’accès réduits sur la bibliothèque dynamiques npdeploytk.dll ».