Oracle ratisse large avec sa mise à jour de sécurité trimestrielle « Critical Patch Update« , qui résorbe 120 vulnérabilités dans 13 gammes de produits, dont 42 failles dans le seul greffon Java pour navigateurs Web.
Quelle stratégie appliquer pour diffuser efficacement tous ces correctifs à l’échelle d’une entreprise ?
Il convient de prioriser les services exposés sur Internet et les brèches considérées comme les plus critiques (score élevé sur une échelle de 10).
Telles sont les principales recommandations de Qualys. L’éditeur spécialiste de la sécurité informatique suggère par ailleurs de s’intéresser en premier lieu aux failles exploitables à distance.
Illustration avec deux des 16 vulnérabilités qui frappent le système d’exploitation Solaris, ainsi que celle qui touche Outside-In, cette composante d’Oracle Fusion utilisée notamment par Microsoft Exchange Server.
Le déploiement des autres correctifs, notamment ceux applicables à la base de données MySQL (score maximal de 6,9), pourra s’effectuer dans un second temps. Même réflexion pour les autres produits concernés : Peoplesoft, Supply-Chain, E-Business et CRM.
Oracle confirme avoir comblé l’ensemble des trous de sécurité qui font ou ont fait l’objet d’une exploitation active par des cyber-criminels, généralement via des pages Internet malveillantes, pour transmettre du code à distance.
Certaines portes dérobées découvertes le mois dernier par les hackers de la convention PWN2OWN sont elles aussi refermées pour l’occasion.
Mais le centre d’attention reste la mise à niveau de l’environnement Java SE (6u45 et 7u21), qui résorbe, d’une traite, 42 failles, dont 19 jugées hautement critiques.
Principale nouveauté : l’introduction d’états de sécurité distinctifs. Par défaut, un site ne pourra plus commander l’exécution d’une applet Java non signée.
Les applications autonomes et les instances exécutées sur serveur ne sont pas concernées.
Seul l’est le greffon Web, dont la santé reste fragile, malgré des soins prodigués à répétition.
Selon Kaspersky, Java est devenu en 2012 le vecteur numéro un des attaques informatiques (50% des cas), détrônant Adobe Reader (28%).
Oracle a effectivement fort à faire sur ce dossier, plus encore depuis quelques mois, face à cette vague d’offensives qui ont frappé des sites médias, des groupes Internet et de grands noms de l’IT – Apple, par exemple.
La cellule américaine US-CERT campe d’ailleurs toujours sur ses positions en recommandant de désactiver purement et simplement le greffon dans la mesure du possible.
—— A voir aussi ——
Quiz ITespresso.fr : savez-vous naviguer en sécurité sur Internet ?
Crédit photo : Oleksiy Mark – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…