Oracle a dissipé les rumeurs selon lesquelles la prochaine mise à jour de sécurité pour Java 7 et les suivantes pourraient ne pas fonctionner sur Windows XP. « Toutes les versions de Java prises en charge avant l'annonce de la fin du support de XP par Microsoft seront applicables sur l'ancien système, au moins pendant un certain temps », a déclaré vendredi dans un blog Henrik Stahl, vice-président de la gestion des produits, Java Platform Group d'Oracle. « Les mises à jour de sécurité livrées par Oracle seront compatibles avec les machines sous XP », a-t-il confirmé.
C'est aujourd'hui qu'Oracle livre ses mises à jour de sécurité pour Java 7. Celles-ci corrigent 20 failles de sécurité qui peuvent être exploitées à distance sans authentification. Certaines de ces vulnérabilités affichent un indice de criticité de 10,0, le plus élevé du Common Vulnerability Scoring System, comme l'a signalé Oracle dans un communiqué précédent. Depuis le 8 avril dernier, Windows XP ne bénéficie plus d'aucun support et les utilisateurs du système de Microsoft ne reçoivent plus aucune mise à jour de sécurité pour l'ancien OS. Plus tôt cette année, Oracle avait annoncé qu'il cesserait aussi de fournir un support officiel pour Windows XP. « Les utilisateurs peuvent continuer à appliquer les mises à jour pour Java 7 sur Windows XP à leurs propres risques, mais à l'avenir seuls les systèmes Windows Vista et supérieurs seront supportés », avait indiqué à l'époque l'éditeur sur son site Web consacré à Java.
Un intérêt limité à faire tourner Java 8 sur XP
Mais certaines personnes avaient compris que les futures mises à jour de Java 7 ne seraient pas compatibles avec Windows XP, ce qui aurait eu de graves conséquences pour la sécurité des milliers d'entreprises et organisations qui utilisent encore le système d'exploitation avec ou sans contrat de support personnalisé auprès de Microsoft. « En fait, Oracle voulait informer les clients qu'en cas de problèmes sous Windows XP, ils devaient vérifier s'ils se reproduisaient avec les versions ultérieures de Windows afin de s'assurer que l'éditeur mettrait au point un patch pour les résoudre », a expliqué Henrik Stahl. Si le problème ne concerne que Windows XP, « Oracle n'a pas obligation de livrer un correctif ou de proposer une solution de contournement », a-t-il ajouté. Les vulnérabilités présentes dans Java sont souvent ciblées par les pirates pour mener des attaques de type « drive-by download », lesquelles consistent à installer un logiciel sur l'ordinateur d'un utilisateur à son insu.
Par ailleurs, de nombreux rapports montrent que Java est encore très utilisé dans les environnements d'entreprise où il sert à faire tourner diverses applications. Si Oracle cessait de livrer des mises à jour de sécurité pour Java 7 sous Windows XP, les utilisateurs de l'ancien système d'exploitation continueraient à faire tourner une version obsolète et vulnérable du logiciel. « Mais cela n'arrivera pas », a affirmé le vice-président de la gestion des produits, Java Platform Group d'Oracle. « Ne croyez pas tout ce que vous lisez sur Internet », a-t-il encore écrit pour répondre aux rumeurs qui laissaient entendre que la mise à jour de sécurité pour Java 7 ne fonctionnerait plus sur l'ancien système Windows. « Les utilisateurs de Windows XP continueront bien à recevoir les mises à jour automatiques de sécurité pour Java 7 au moins jusqu'en avril 2015, date à laquelle nous avons prévu d'arrêter les mises à jour publiques de cette version de Java », a-t-il écrit. « Nous allons continuer à gérer les mises à jour de Java 7 sur Windows XP », a encore déclaré Henrik Stahl. « Si à l'approche de cette échéance nous constatons que le taux d'usage de XP reste élevé, nous prendrons les mesures nécessaires pour faire sorte que Java puisse être utilisé en toute sécurité ». La situation avec Java 8 est différente. Officiellement, cette version n'est pas compatible avec Windows XP et elle ne peut être installée sur les anciens systèmes sans une intervention manuelle. « Nous cherchons une solution pour résoudre ce problème, mais nous pouvons aussi décider de ne pas la proposer. En effet, il n'est pas certain qu'un utilisateur a intérêt à faire la mise à jour vers Java 8 sur une machine tournant sous XP. Autant, dans ce cas, mettre aussi à jour le système d'exploitation », a déclaré Henrik Stahl.