Ces derniers temps, Java a été souvent mis à mal en matière de sécurité, notamment du côté des navigateurs Internet et Oracle a promis de faire ce qu'il fallait pour y remédier. L'éditeur veut aussi mieux communiquer sur les efforts qu'il entreprend pour régler les problèmes de sécurité du langage de programmation. « La popularité de Java JRE dans les navigateurs Internet et le fait qu'il soit indépendant du système d'exploitation font que le langage est devenu une cible de choix pour les pirates informatiques », a déclaré vendredi Oracle dans un communiqué.
Quarante-quatre des cinquante vulnérabilités concernent le langage Java intégré aux navigateurs Internet. « En d'autres termes, ces failles peuvent être exploitées pour mener des attaques contre les ordinateurs via des applications Java Web Start ou des applets Java », a déclaré Oracle. « En outre, une vulnérabilité affecte le processus d'installation du client de Java (c'est-à-dire l'installation du JRE sur les ordinateurs de bureau). Ce Critical Patch Update inclut aussi des correctifs précédemment livrés avec l'avis de sécurité CVE-2013-0422 ».
Les navigateurs Internet plus vulnérables
Trois vulnérabilités concernent les déploiements client et serveur de Java, des situations qui permettent d'exploiter les failles, côté client, sur les ordinateurs, via Java Web Start, ou des applets du navigateur, et côté serveurs, puisqu'elles peuvent offrir des points d'entrées à des malware et les faire exécuter par les API de composants vulnérables. Dans certains cas, le scénario pour exploiter ce genre de bogues sur les serveurs est assez improbable. Par exemple, une de ces vulnérabilités ne peut être exploitée contre un serveur que si celui-ci est autorisé à traiter des fichiers images provenant d'une source non fiable.
« Deux des vulnérabilités corrigées par la mise à jour ne s'appliquent qu'au déploiement de Java Secure Socket Extension côté serveur, mais la plupart des vulnérabilités corrigées concernent les déploiements clients de Java et JavaFX », fait remarquer Oracle. « Cela montre que l'environnement serveur de Java est plus sûr que l'environnement JRE des navigateurs. Cela s'explique par le fait que les serveurs fonctionnent dans un environnement plus sécurisé et mieux contrôlé ».
Oracle livre en avance son correctif Java
0
Réaction
Avant le week-end, Oracle a livré une mise à jour critique pour Java SE, publiant son correctif du mois de février un peu plus tôt que prévu. Celle-ci doit réparer une vulnérabilité du Java Runtime Environment (JRE) activement exploitée dans les navigateurs Internet. Au total, le patch initialement prévu pour le 19 février 2013, corrige 50 vulnérabilités, dont quelques-unes côté serveur.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Commentaire