Vulnérabilités Java: Oracle invite à appliquer les correctifs rapidement

Le nouvel ensemble de correctifs Java qu’Oracle vient de livrer visera à protéger les systèmes contre des tentatives d’attaques déjà constatées.

Oracle vient d’annoncer un nouveau Critical Patch Update. Ce nouvel ensemble de rustines vise à corriger les failles de sécurité des produits Java SE ainsi que divers bugs. L’alerte contient pas moins de 17 correctifs. Les applications JDK et JRE 6 Update 25, JDK 5.0 Update 29 et le SDK 1.4.2_31, ainsi que les versions précédentes, sont principalement concernés par ces mises à jours critiques.

Face à la menace qui pèse en regard des attaques constatées, Oracle conseille en effet l’application des correctifs dans les meilleurs délais. A noter cependant que ce Critical Patch Update ne concerne que les failles du jour, pas les précédentes. Il reviendra donc aux utilisateurs et administrateurs système de vérifier que les mises à jour précédentes ont bien été effectuées. Ce qu’il vaut mieux vérifier manuellement (à partir de cette page notamment) puisque l’outil de mise à jour automatique (s’il est activé) peut être programmé par défaut à une fréquence de vérification d’un mois (un délai d’exposition aux menaces trop long). De plus, nous avons constaté que, sous certaines configurations sous Windows Vista/7 (mais pas XP), le module de vérification conservait la valeur par défaut (une fois par mois, par exemple) même lorsqu’on le paramètre sur une fréquence hebdomadaire ou quotidienne.

Il était temps qu’Oracle se préoccupe de la sécurité de ses utilisateurs (ce qui n’est pas son fort en regard de la fréquence des correctifs de Java pourtant généralisé sur les plates-formes Windows, notamment). Il y a un mois, Microsoft alertait d’un mouvement massif d’attaques de son système par l’intermédiaire des vulnérabilités Java. L’éditeur de Redmond s’était d’ailleurs penché sur la problématique en révélant, étude à l’appui, l’explosion des attaques contre Java depuis le deuxième trimestre 2010. Rappelons que l’exploitation de ces failles permet généralement à un cyber-attaquant d’exécuter du code à distance sur la machine affectée et d’en prendre éventuellement le contrôle. S’en prémunir se révèle donc incontournable.