Oracle a publié hier une mise à jour pour corriger une faille de sécurité dans le plugin Java. La vulnérabilité était déjà exploitée par plusieurs sites web, y compris des franchises, et permettait à une personne malveillante d’exécuter des commandes à distance sur l’ordinateur d’une victime. En plus de la correction, la nouvelle version apporte un changement dans les paramètres de sécurité du plugin.
La mise à jour 11 de Java 7 corrige la vulnérabilité de l’exécution de code à distance ainsi qu’une autre défaillance qui existait il y a au moins sept mois. Le niveau de sécurité par défaut du plugin est passé de moyen à élevé, ce qui empêche l’exécution d’une applet sans autorisation de l’utilisateur. La recommandation est de mettre à jour Java immédiatement. Si vous avez désactivé l’assistant de mise à jour, vous pouvez le télécharger à partir de ce lien.
Bien qu’Oracle n’ait pas publié le correctif, Apple et Mozilla ont pris des mesures pour éviter que l’échec ne touche davantage de personnes. Apple a bloqué le plugin par une mise à jour de la protection anti-malware sur les machines avec OS X 10.6 ou supérieur. Mozilla a ajouté les versions de Java concernées à la liste noire de Firefox, obligeant l’utilisateur à cliquer sur l’applet pour lancer le plugin.
Il semble que tout va bien pour le moment, mais certains experts consultés par Reuters ne sont pas très confiants : “Nous n’osons pas dire aux utilisateurs qu’il est sûr d’activer Java à nouveau”, déclare Adam Gowdiak, chercheur à l’organisation polonaise Security Explorations. Le chef de la sécurité de Rapid7, HD Moore, déclare : “La chose la plus sûre à faire pour l’instant est de supposer que Java sera toujours vulnérable. Les gens n’ont pas besoin de Java sur le bureau”.
Cette dernière déclaration ne peut s’appliquer à la France car plusieurs banques utilisent des modules de sécurité réalisés en Java et certaines empêchent l’accès aux services bancaires sur Internet sans que le plugin ne fonctionne. Une solution intéressante consiste à utiliser deux navigateurs : un avec Java désactivé, pour accéder aux sites web en général, et un autre avec Java activé, pour accéder aux sites web bancaires et autres qui nécessitent le plugin.
