Mozilla a utilisé hier son fameux kill switch pour des plugins potentiellement dangereux dans Firefox. La société a mis les anciennes versions des plugins JDK (Java Development Kit) et JRE (Java Runtime Environment) sur la liste noire, ce qui fait qu’ils sont désactivés à distance dans les navigateurs dans lesquels ils sont installés. Cette désactivation est due à la découverte d’une vulnérabilité dans Java 6 Update 30 et Java 7 Update 2 (et moins) qui est actuellement en cours d’exploration.La vulnérabilité est CVE-2012-0507 et a été corrigée dans une mise à jour publiée en février, mais tous les utilisateurs ne se souviennent pas de mettre à jour le plugin (j’ai inclus – ops). C’est pourquoi les utilisateurs de Firefox disposant d’anciennes versions du plugin devraient voir le message ci-dessous lors de l’ouverture du navigateur le mardi (3). L’option sélectionnée par défaut est de désactiver le plugin, mais si vous l’utilisez et ne voulez pas le mettre à jour, vous pouvez ignorer la prudence de Mozilla.
La créatrice de Firefox dit également qu’elle peut ajouter la version Mac OS à la liste des plugins Java bloqués, mais ne dit pas pourquoi. J’imagine que cette mesure ne sera adoptée que dans le cas où Apple elle-même ne la réparerait pas à l’avenir. Et elle devrait le faire bientôt, pour la raison suivante.
La défaillance affecte également Mac OS X
Bien que Sun soit actuellement responsable du développement de Java, Apple a conclu un accord avec la société qui la rend responsable de la correction des vulnérabilités de la plate-forme dans son système Mac OS X. Comme mentionné ci-dessus, le bogue a été corrigé en février, ce qui a donné à la société apple tout le temps nécessaire pour mettre en œuvre la correction et la mettre à la disposition de ses utilisateurs. Mais il semble que Apple ait mangé de la poussière.
Selon le blog de F-Secure, une nouvelle version de Mac Flashback, un virus pour Mac qui se fait passer pour un installateur Flash, est apparue sur le web et profite de la rechute d’Apple pour attaquer les utilisateurs de Mac non protégés. F-Secure affirme également qu’il existe un autre programme exploitant un second crash de Java, mais il ne s’agit là que de rapports non confirmés.
Cependant, la même attitude appliquée par Mozilla est valable ici : désactivez Java dès que possible et attendez qu’Apple publie la mise à jour. Ou continuez à naviguer avec une dose supplémentaire de prudence.