On croyait Java remis d’aplomb.
Il n’en est rien, à en croire le département de la sécurité intérieure des Etats-Unis et les nombreux experts qui se sont penchés sur la question.
Les inquiétudes portent sur le correctif qu’Oracle a déployé ce lundi en réponse à la découverte, la semaine passée, d’une faille de type 0-day dans l’environnement Java Standard Edition 7 (Update 9 et Update 10).
Il semble que cet antidote diffusé à la hâte n’ait pas tout à fait l’effet escompté.
Le patch agirait partiellement, résorbant bel et bien certaines vulnérabilités, notamment grâce au blocage par défaut l’exécution d’applets non signés.
En tête de liste, le bug objet de toutes les attentions n’est plus. Il se logeait dans la nouvelle API Reflection.
Pour autant, au moins une brèche resterait grande ouverte aux pirates informatiques. Elle ressortirait à la méthode « findClass » de la classe MBeanInstantiator (CVE-2013-0422).
S’y infiltrer ne suffit plus à enclencher l’exploit permettant d’injecter du code arbitraire à distance via une page Web malveillante, mais il suffirait à l’assaillant d’y combiner une autre faille 0-day pour réactiver le processus.
Face à cette situation, les équipes de la cellule américaine US-CERT recommandent d’appliquer le principe de précaution, à savoir désactiver le plugin Java.
Un avis partagé par Security Explorations, qui s’est confié en ce sens à Reuters.
Les experts de Rapid7 sont plus catégoriques encore. « Le plus sûr est de considérer que Java restera perpétuellement vulnérable« , résument-ils.
En France, le son de cloche diffère sous la houlette de la CERTA, qui privilégie un rétropédalage vers Java 6 Update 38.
Oracle n’en est plus à ses premières tribulations sur le dossier. Les correctifs ponctuels se multiplient et paraissent à une fréquence autrement plus soutenue que le cycle trimestriel de mise à jour.
L’éditeur peut-il se borner à attendre cette livraison trimestrielle pour corriger les problèmes de Java ou doit-il changer son fusil d’épaule ?
—— A voir aussi ——
Quiz ITespresso.fr : la sécurité sur Internet n’a pas de secret pour vous ?
Crédit photo : Michael Pettigrew – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…