Oracle a livré hier des mises à jour de sécurité pour Java et annoncé qu'il allait d'accélérer la livraison des prochains correctifs. Une décision motivée par les récentes attaques exploitant des failles zero-day dans les plug-in Java des navigateurs.
Ses mises à jour -Java 7 Update 15 et Java 6 Update 41- couvrent cinq vulnérabilités qui n'avaient pas pu, en raison des contraintes de délai, être corrigées dans le patch d'urgence du 1er février. Quatre d'entre elles peuvent être exploitées par l'intermédiaire d'applications Java Web Start sur les postes de travail et d'applets Java dans les navigateurs Internet, rappelle Eric Maurice, responsable de l'activité software assurance d'Oracle.
Trois avaient été jugées critiques (notées 10 sur l'échelle CVSS). Elles pouvaient être exploitées pour compromettre totalement la confidentialité, l'intégrité et la disponibilité des systèmes sur lesquels Java fonctionne avec des niveaux d'autorisation pour l'administrateur (sous Windows XP par exemple). L'impact est plus faible sur les systèmes tournant sous un OS qui n'utilisent pas ce mode de fonctionnement, comme Linux ou Solaris.
Prochain correctif programmé pour le 16 avril
La cinquième faille affectait les déploiements serveur de JSSE (Java Secure Socket Extension) et dérive de l'attaque Lucky Thirteen contre les données chiffrées avec les protocoles SSL/TLS, découverte par des chercheurs en sécurité au début du mois.
Si la mise à jour Java 6 Update 41 est disponible sur le site Oracle, elle ne l'est pas sur Java.com et doit être récupérée manuellement. Sur les postes utilisant Java 6 (notamment les Mac sous OS 10.6), les utilisateurs se verront proposer de télécharger et d'installer Java 7 Update 15. C'était prévu. Oracle avait annoncé sur son site qu'il commencerait à faire la mise à jour de JRE 6 à JRE 7, de façon automatique, pour tous les utilisateurs Windows 32-bit, avec les livraisons de Java SE 7 Update 15 (Java SE 7u15) en février 2013
Le prochain Critical Patch Update pour Java SE est programmé pour le 16 avril. Il arrivera en même temps que le Critical Patch Update pour les autres logiciels d'Oracle. La mise à jour suivante pour Java est planifiée pour le 18 juin.
Oracle livre les correctifs de sécurité attendus pour Java
Le correctif livré hier par Oracle s'applique à cinq failles affectant Java qui n'avaient pas pu être corrigées par le dernier patch livré en urgence.