Java en version JRE 1.7 update 6 : grosse faille de sécurité

Posté le par | Répondre

Cette semaine, une nouvelle vulnérabilité 0-day, découverte dans le logiciel Sun Java en version JRE 1.7 update 6 permet à une personne malveillante de se connecter à une machine distante. Oracle, développeur de Java, n'a pas encore publié de correctif, les entreprises de sécurité recommandent aux utilisateurs de désactiver Java ou le désinstaller. La faille de sécurité affecte toutes les versions de Java d'Oracle 7 (version 1.7) sur toutes les plates-formes supportées, cela signifie que tous les principaux navigateurs sont vulnérables si elles ont le plugin Java installé, y compris Internet Explorer, Google Chrome, Mozilla Firefox, Opera et Safari. Quel que soit le navigateur que vous utilisez, il est fortement recommandé de désactiver ou de désinstaller Java si vous n'en avez pas besoin. Si vous en avez besoin, utilisez un navigateur séparé lorsque Java est requis en attendant la mise à jour.

Firefox (actuellement : 15) : Outils > Modules complémentaires > Plugins > Désactiver tous les Plugins en relation avec Java

Pour désactiver java dans Chrome, aller a l’adresse
Taper : "chrome://plugins/"
CTRL+F puis cherchez java, désactivez les plugins correspondants
Attention, il peut y en avoir plusieurs, cliquez sur détails (tout en haut à droite) pour tous les voir.

Ou bien : Paramètres > Paramètres avancés > Confidentialité > Paramètre de contenu > Plugins > Désactiver les plugins individuels > Java.

Sur Opera : taper "about:plugins" et désactiver tous les "Java"...

En attendant la prochaine mise à jour de sécurité corrigeant la faille, il est conseillé de faire le nécessaire.

Selon ce qui a été développé sur The Register relayé par Numérama, Oracle "observe un calendrier tri-annuel strict pour Java, et le prochain ensemble de correctifs n'est pas attendu avant le 16 octobre". Il va donc falloir attendre plus d'un mois et demi avant un correctif !? Oracle serait-il l'exception à la règle concernant la rapidité de réaction dans le monde de l'open source ?

Pour ceux qui ont besoin du plugin Java, il existe NoScript, une extension pour Firefox qui permet une protection supplémentaire pour Firefox : NoScript ne permet l’exécution des scripts de JavaScript que pour les sites de confiance (par exemple, votre banque, un site gouvernemental,...) et bloque préventivement l'accès aux autres domaines. il faut bien évidement paramétrer NoScript qui demandera à l'ouverture d'une page si vous autorisez ou non l'activation de Java :

NoScript se paramètre facilement et permet la gestion de liste blanche (sites autorisés en permanence), une gestion avancée des objets à restreindre (Adobe Flash, Microsoft Silverlight, autres plugins), autres paramètres avancés pour les paranos (ou non).

 

Plus d'info sur le 0-day : korben, Tuxplanet, The Next Web, Le Monde Informatique (Les Mac sous la menace d'une dangereuse faille zéro-day dans Java).

Pour tester la vulnérabilité de son navigateur, aller sur la page de Zscaler

 

 


Licence Creative Commons
Cet article, sauf mention contraire expresse, est publié sous licence Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported Licence.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :
Google Plus Twitter Facebook Linkedin Framasphere email Flattr !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.