La réaction d'Oracle était attendue. Elle n'a pas traîné. L'entreprise américaine a publié ce week-end un correctif destiné à corriger la brèche découverte la semaine dernière dans Java. Deux branches du logiciel sont concernées, et l'usager doit réagir en conséquence en installant Oracle Java 1.6.38 ou 1.7.11, selon la version installée.
La première faille "concerne la méthode 'findClass' de la classe MBeanInstantiator" et qui affecte toutes les versions antérieures à Java version 1.6.38, tandis que la seconde implique "la nouvelle API Reflection" de Java, qui est disponible à partir de la version 1.7 du logiciel.
"L'association des deux vulnérabilités permet à un attaquant d'exécuter du code arbitraire à distance au moyen d'une page Web spécialement conçue sur les postes possédant une version de Oracle Java antérieure à 1.7.11", explique le Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (CERTA), dans son bulletin d'alerte mis à jour ce week-end.
Auparavant, le CERTA avait invité les utilisateurs à désactiver temporairement le logiciel pour éviter que ces derniers ne s'exposent.
Le danger n'a pas été seulement pris en considération par les autorités. Des initiatives ont été prises par la fondation Mozilla, puisque son navigateur web, Firefox, peut être enrichi par des modules complémentaires. Dont Java. Une mise en garde est donc affichée dans les dernières versions du logiciel (17 et plus) pour prévenir l'usager que certaines versions de Java posent un risque de sécurité.
"Quand Mozilla est mis au courant qu'un module, greffon ou tout autre logiciel tierce-partie peut remettre en cause la sécurité, stabilité ou les performances de Firefox et que certain critères sont réunis, le logiciel peut être bloqué pour l'usage général", explique Mozilla dans sa page d'aide. En l'espèce, l'avertissement concerne tous les usagers utilisant Firefox 17 ou supérieur et ayant une version de Java problématique.
Si Oracle a réagi vite, certains considèrent que l'éditeur est peut-être intervenu trop vite. C'est l'avis d'Adam Gowdiak, spécialiste en sécurité Java. Si le patch réduit le risque d'une intrusion ou d'un infection, l'entreprise américaine n'aurait pas fixé toutes les vulnérabilités ; dans certaines situations, la brèche serait encore exploitable, laisse-t-il entendre dans une interview accordée à Reuters.
"Nous n'osons pas dire aux utilisateurs que la réactivation de Java est sûre", a-t-il expliqué. Travaillant pour la société polonaise Security Explorations, Adam Gowdiak s'est illustré l'an dernier en mettant en exergue une faille critique du logiciel.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !