Une grosse mise à jour de sécurité pour Java

Une nouvelle version de Java SE 6 vient de faire son entrée. Elle corrige de multiples failles de sécurité. La mise à jour est vivement recommandée.

Sun Microsystems dévoile une nouvelle version de Java SE 6, l’update 17 (6u17), laquelle est téléchargeable sur ce site. Elle corrige 33 bogues, dont 23 directement liés à des failles de sécurité (au nombre de six).

La première est assez problématique : de fait, certaines anciennes versions de Java SE 6 ne peuvent se mettre à jour de façon automatique. Pour la mouture française, le problème était déjà résolu avec la version 6u16, mais si le logiciel de mise à jour reste muet, il vous faudra installer manuellement la 6u17.

Plus grave, une vulnérabilité dans l’environnement de déploiement de Java autorise l’exécution de code distant sur la machine de l’utilisateur, sans que ce dernier soit prévenu. La troisième faille permet de faire planter des serveurs utilisant Java, en saturant leur mémoire.

Les deux vulnérabilités suivantes permettent aux applications non certifiées de faire croire à Java Web Start qu’elles le sont. Elles pourront alors lancer du code distant. La première touche directement le système d’installation de Java Web Start. La seconde s’appuie sur une escalade de privilèges, rendue possible par la présence de bogues dans le système de traitement des images et du son.

Enfin, une dernière faille permet de court-circuiter le système d’authentification de Java. Elle n’est toutefois pas exploitable par les applets non certifiés. Ouf !

Lire aussi : Télégrammes : ANSSI se penche sur Java, Diesel plus de logiciels tricheurs, Une justice en ligne