Bien que la situation ait été critique, aucun spécialiste n'était en mesure de dire si Oracle allait diffuser une mise à jour de sécurité avant le mois d'octobre. Avec son patch out-of-band 1.7.0_07-b10, c'est désormais chose faite. Selon Rapid7, la firme de sécurité en charge de Metasploit, la mise à jour devrait en effet permettre de contrer l'ensemble des attaques exploitant les failles incriminées. Adam Gowdiak, fondateur et PDG de Security Explorations, qui avait signalé dès le début du mois d'avril les vulnérabilités à Oracle, a affirmé hier que cette mise à jour de Java rendait impossible les exploits en cours d'utilisation par les hackers. "Plus aucun des codes que nous avions envoyés à Oracle en avril 2012 ne peut être utilisé", a déclaré Gowdiak dans une réponse par email à des questions. Une information confirmée par Tod Beardsley, directeur de l'ingénierie pour Metasploit. "Il semble que ce patch bloque efficacement les failles exploitées" a annoncé ce dernier.
La vitesse de réaction d'Oracle saluée par les firmes de sécurité
Les deux hommes, mais aussi de nombreuses personnalités du monde de la sécurité ont également commenté le caractère inhabituel de la mise à jour d'urgence livrée par Oracle. "Si nous supposons qu'ils aient entendu parler des vulnérabilités en même temps que le grand public, la mise au point d'un patch en quatre jours a été rapide comme l'éclair", a déclaré T.Beardsley. "Et si la rumeur indiquant qu'ils disposaient de l'information depuis plusieurs mois est vraie, c'est tout de même un exploit les concernant... Ils prennent généralement six mois ou plus" a-t-il poursuivi. Andrew Storms, directeur des opérations de sécurité pour nCircle, a également salué la célérité d'Oracle. "Donnons-leur un peu de crédit pour cette mise à jour rapide. N'oublions pas qu'ils ont livré le patch une semaine seulement après que l'information ait été rendue publique", a-t-il commenté. Adam Gowdiak s'est d'ailleurs déclaré heureux que la firme n'ait pas attendu la mise à jour prévue en octobre. "Nous espérons que les mises à jour out-of-band deviendront plus fréquentes et seront distribuées à chaque fois qu'un besoin se fera sentir pour protéger les utilisateurs de logiciels Oracle" a-t-il déclaré.
Jusqu'à aujourd'hui, Oracle a refusé de commenter la situation. Les utilisateurs peuvent quant à eux obtenir la mise à jour d'urgence sur le site web d'Oracle.
Pour télécharger le patch Java : www.oracle.com/technetwork/java/javase/downloads/jdk7u7-downloads-1836413.html
Dernière minute, cette mise à jour ne règle pas tous les problèmes de Java 7 puisque des chercheurs ont trouvé le moyen de contourner les sécurités mises en place par Oracle. Nous développerons plus longuement ce sujet très bientôt.