Correction en urgence pour la faille Java

La vulnérabilité 0-day de Java a été corrigée en un temps record par Oracle. La firme se montrerait-elle enfin plus réactive face aux problèmes de sécurité ?

Oracle vient de livrer une nouvelle version de son environnement Java, laquelle corrige deux failles de sécurité, dont celle détectée en fin de semaine dernière (voir « Java de nouveau touché par une faille critique »).

L’exploitation de cette faille de type 0-day peut entraîner l’exécution de code arbitraire à distance, au moyen d’une page Internet malveillante. Elle aurait même fait l’objet d’une intégration expresse dans certains kits de piratage, notamment le dénommé BlackHole, rappelle ITespresso.fr.

Vu les risques encourus, et à défaut d’un patch, des experts en sécurité (dont la cellule américaine US-CERT et son équivalent français, la CERTA) avaient appelé, vendredi dernier, à la vigilance.

Il était recommandé d’appliquer le principe de précaution, en l’occurrence désactiver les deux versions touchées : Java Runtime Environment Update 9 et Update 10. Java SE 7u11 devrait clore ce problème.

Oracle enfin réactif

Les failles se sont multipliées autour de Java depuis l’an dernier. Nous nous interrogions vendredi sur cette obstination d’Oracle à attendre sa livraison trimestrielle de patchs pour corriger les problèmes de Java, un outil pourtant critique, car par essence connecté.

Visiblement, la firme a décidé de changer son fusil d’épaule avec ce correctif, abouti et sorti en un temps record. Espérons que cette façon de traiter les failles de sécurité de Java deviendra maintenant la règle pour Oracle.

Voir aussi
Quiz Silicon.fr – Connaissez-vous les secrets de Java ?

Lire aussi : Logiciel : un modèle de licence Java qui peut coûter cher