Oracle a publié deux correctifs sur les failles zero day de Java. Plusieurs experts et autorités avaient conseillé en fin de semaine dernière la désactivation des plug-in Java dans les navigateurs pour se protéger. La rapidité d'Oracle à proposer des correctifs provient du fait qu'au moins une des failles référencées sous la dénomination CVE-2013-0422 a été exploitée par des kits d'attaques.
La firme de Larry Elisson recommande que ce bulletin de sécurité « soit appliqué dès que possible ». Les deux vulnérabilités exposent les utilisateurs à des attaques via une « applet » malveillante qui peut être intégrée dans une page web et s'exécuter dans le navigateur.
Les plateformes concernées par ces failles sont toutes celles utilisant Java 7 (1.7, 1.7.0) jusqu'à la 10èmemise à jour, explique un avis du CERT US. Cela inclut également Java Platform Standard Edition 7, Java SE Development Kit et Java SE Runtime Environment.
En parallèle de ces mises à jour de sécurité, le blog d'Oracle confirme que les paramètres de sécurité de Java seront désormais réglés au niveau « haute sécurité » par défaut. « Ce réglage nécessite une autorisation express pour l'exécution d'applets signées ou non. En conséquence, les utilisateurs peu méfiants qui visitent des sites web compromis seront avertis de l'exécution d'une applet douteuse et auront le choix de l'exécuter ou pas ».
En complément de ces deux bulletins de sécurité, Oracle va publier aujourd'hui sa mise à jour trimestrielle de sécurité comprenant 86 correctifs.
Oracle corrige en urgence la faille zero day de Java
La firme de Larry Ellison aura mis un week-end pour proposer en urgence des correctifs à deux failles concernant Java.