Sécurité : Java est victime d’une faille critique sous Windows

Deux chercheurs en sécurité informatique, Tavis Ormandy et Ruben Santamarta, ont récemment détecté la présence d’une faille de sécurité qualifiée d’« extrêmement critique » au sein du Java Runtime Environment, rapporte GData.

Selon l’éditeur de solutions de sécurité, cette vulnérabilité n’est pour l’instant pas bloquée par les outils de sécurité intégrés à Windows 7 et Vista.

Cette faille est d’autant plus dangereuse qu’elle est susceptible de toucher tous les navigateurs, comme Internet Explorer, Firefox ou Google Chrome qui prennent en charge le plug-in Java Deployment Toolkit, module où siège cette vulnérabilité, installé automatiquement avec le Java Runtime Environment à partir de la version 6.10.

Cette faille de sécurité nichée dans le Java Deployment Tookit peut permettre à un pirate d’exécuter à distance du code arbitraire au lancement de Java Web Start, comme le souligne le CERTA (Centre d’expertise gouvernemental de réponse et de traitement des attaques informatique) dans un bulletin de sécurité qu’il vient de publier.

Pour éviter d’être touché par cette vulnérabilité, GData souligne que la désactivation du JavaScript n’est pas suffisante.

L’éditeur conseille, pour Internet Explorer, de placer un bit d’arrêt de classe ID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA pour l’ActiveX.

Concernant le navigateur Firefox, GData explique qu’il suffit de se rendre dans l’onglet « Outils », de choisir « Modules complémentaires », puis de se rendre dans l’onglet « Plug-in » pour désactiver le Java Deployment Toolkit.

De son côté, le CERTA conseille en plus de désactiver si possible le module Java Web Start et « de positionner des droits d’accès réduits sur la bibliothèque dynamiques npdeploytk.dll ».

Recent Posts

Digital Workplace : comment l’IA Générative s’installe dans l’environnement de travail

L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…

2 jours ago

PC Copilot+ : avec Arm ou x86 ?

Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…

2 semaines ago

Copilot+ : une sélection de PC convertibles

Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…

4 semaines ago

Avec Gemini intégré à Google Workspace, les prix s’envolent

Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…

1 mois ago

PC Copilot+ : c’est parti pour la transformation du parc

Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…

1 mois ago

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

3 mois ago