Les utilisateurs de la plate-forme Java sont invités à mettre à jour le plus rapidement possible leur machine virtuelle en passant à la version 8 Update 51. Après Adobe, Oracle a mis les bouchées doubles pour combler 25 failles critiques dans Java sur un total de 193 vulnérabilités logicielles dont 44 issues de composants tiers. Les logiciels concernés sont Oracle Database, Fusion Middleware, Hyperion, Enterprise Manager, E-Business Suite, Supply Chain Suite, PeopleSoft Enterprise, Siebel CRM, Communications Applications, Java SE, Sun Systems Produits Suite, Oracle Linux et enfin MySQL.
Oracle a publié les mises à jour Java 8 Update 51, Java 7 Update 85 et Java 6 Update 101. Toutefois, seule la mise à jour de Java 8 est disponible au public, puisque le support officiel général pour Java 7 et Java 6 est terminé. Seuls les clients disposant de contrats de support étendu continuent d'avoir accès à des correctifs de sécurité pour ces versions. Sur les 25 vulnérabilités corrigées dans Java, 23 peuvent être exploitées à distance sans authentification. Seize failles affectent uniquement le déploiement du client et cinq autres touchent les déploiements client et serveur. Un correctif est réservé à la plate-forme Mac et quatre patchs sont destinés à Java Secure Socket Extension (JSSE), a déclaré Eric Maurice, en charge de la sécurité logicielle chez Oracle, dans un billet de blog. La vulnérabilité la plus élevée corrigée avec cette mise à jour de Java est connue sous le code CVE-2015-2590 et avait le statut zéro-day. Cela signifie que des cyber-pirates exploitaient cette faille critique alors qu'aucun correctif n’était disponible.
Un pays de l'Otan ciblé par des hackers russes
Un exploit pour cette vulnérabilité a été récemment découvert par des chercheurs de Trend Micro dans des attaques qui visaient les forces armées d'un pays membre de l'OTAN et une agence liée au ministère américain de la Défense. Les attaques ont été lancées par un groupe de cyberespionnage connu comme le nom Storm Gage ou APT28, soupçonné d'avoir des liens avec les services de renseignement russe. Le groupe est très actif depuis 2007 et vise généralement les organisations militaires, gouvernementales et médiatiques. Bien que Java soit encore largement utilisé pour les applications web dans les environnements d'entreprise, il est devenu plus rare sur les sites web destinés aux internautes. Par conséquent, de nombreux utilisateurs peuvent désactiver le plug-in Java pour navigateur, qui est la cible de la majorité des exploits Java.
On peut facilement supprimer ou désactiver Java mais le plug-in est réactivé lors des mises à jour. La désinstallation complète de la machine virtuelle Java est malencontreusement plus compliquée car des applications populaires exploitent toujours cette technologie. Heureusement, Oracle a ajouté une option dans le panneau de commande Java qui sert de console centrale pour désactiver le support de Java sur tous les navigateurs.
Java encore très utilisé dans les entreprises
Pour les entreprises, qui ont toujours besoin de Java, la sécurité de cette technologie devient préoccupante avec la multiplication des failles zero-day. Des options permettent toutefois de réduire de manière significative la probabilité d'attaques. Internet Explorer dispose par exemple d'une fonctionnalité qui permet aux administrateurs de restreindre les sites autorisés à charger le contenu Java. Et des navigateurs comme Mozilla Firefox et Google Chrome proposent une option click-to-play qui peut être utilisée pour empêcher l'exécution automatique de contenu Java sur le web.
Commentaire