Deux nouvelles failles découvertes dans Java

Oracle s'en serait sans doute bien passé, mais Java semble être le centre d'intérêt des pirates informatiques actuellement. Vendredi 12 janvier, une faille "zero-day" présente dans le mécanisme d'isolation des applets poussait les autorités américaines à conseiller la désactivation de Java. Oracle avait réagi rapidement en publiant un correctif (Java 7 update 11) deux jours plus tard. Mais cette dernière version est encore vulnérable selon les chercheurs en sécurité.

D'une part, la dernière mise à jour du plug-in Java pour les navigateurs ne corrige en effet qu'une partie de la faille précédente (désignée comme la faille 50). Le défaut résiduel n'est cependant pas dangereux à lui seul mais pourrait-être utilisé à l'avenir et il est curieux qu'Oracle n'ait pas eu à coeur de l'effacer. Plus grave, les chercheurs de Security Explorations ont mis au jour deux nouvelles failles dans Java aussi graves que la n°50. Toutefois, l'update 11 a introduit un mécanisme de protection encore efficace : l'utilisateur doit manuellement autoriser les applets qui ne possèdent pas un certificat de sécurité valide. Grâce à cela, une applet pirate ne sera pas exécutée automatiquement.

Oracle en a été informé et pourrait à nouveau sortir une mise à jour corrigeant ces problèmes. En attendant, nous vous recommandons de laisser le plug-in Java désactivé en permanence et de ne l'activer qu'au coup par coup.

Posez une question dans la catégorie Les news : vos réactions du forum
Cette page n'accepte plus de commentaires
6 commentaires
    Votre commentaire
  • salut
    je vient de désinstaller java !!! peux t’ont espérer une version sans faille un jours ??
    0
  • Il va peut-être falloir penser à se relire non? 3 fautes dans un si petit article, c'est quelque peu exagéré!!
    "la dernière mise à jour du plug-in Java pour les navigateurs ne corrigent"
    "l'utilisateur doit manuellement autorisé"
    "laisser le plug-in Java désactiver"
    -2
  • 905495 said:
    salut je vient de désinstaller java !!! peux t’ont espérer une version sans faille un jours ??

    Réponse élémentaire: non.
    Tout système aussi complexe d'une machine virtuelle aura toujours des failles potentiellement exploitables, comme n'importe quel système informatique d'ailleurs. Le chantier est de réussir à en corriger le plus possible, et de faire en sorte qu'il soit très difficile à exploiter celles qui peuvent rester. De fait, ne rêve pas, la jvm comporte et comportera toujours des failles plus ou moins grandes et plus ou moins utilisables.

    un petit tuyau: cherche les POC (proof of concept) qui démontrent énormément de failles dans tous les OS, navigateurs, logiciels, ainsi que la difficulté (ou simplicité) de leur usage. Il y a des failles "non dangereuses", d'autres qui le sont bien plus... voilà tout.
    0