Cette semaine, une nouvelle vulnérabilité 0-day, découverte dans le logiciel Sun Java en version JRE 1.7 update 6 permet à une personne malveillante de se connecter à une machine distante. Oracle, développeur de Java, n'a pas encore publié de correctif, les entreprises de sécurité recommandent aux utilisateurs de désactiver Java ou le désinstaller. La faille de sécurité affecte toutes les versions de Java d'Oracle 7 (version 1.7) sur toutes les plates-formes supportées, cela signifie que tous les principaux navigateurs sont vulnérables si elles ont le plugin Java installé, y compris Internet Explorer, Google Chrome, Mozilla Firefox, Opera et Safari. Quel que soit le navigateur que vous utilisez, il est fortement recommandé de désactiver ou de désinstaller Java si vous n'en avez pas besoin. Si vous en avez besoin, utilisez un navigateur séparé lorsque Java est requis en attendant la mise à jour.
Firefox (actuellement : 15) : Outils > Modules complémentaires > Plugins > Désactiver tous les Plugins en relation avec Java
Pour désactiver java dans Chrome, aller a l’adresse
Taper : "chrome://plugins/"
CTRL+F puis cherchez java, désactivez les plugins correspondants
Attention, il peut y en avoir plusieurs, cliquez sur détails (tout en haut à droite) pour tous les voir.
Ou bien : Paramètres > Paramètres avancés > Confidentialité > Paramètre de contenu > Plugins > Désactiver les plugins individuels > Java.
Sur Opera : taper "about:plugins" et désactiver tous les "Java"...
En attendant la prochaine mise à jour de sécurité corrigeant la faille, il est conseillé de faire le nécessaire.
Selon ce qui a été développé sur The Register relayé par Numérama, Oracle "observe un calendrier tri-annuel strict pour Java, et le prochain ensemble de correctifs n'est pas attendu avant le 16 octobre". Il va donc falloir attendre plus d'un mois et demi avant un correctif !? Oracle serait-il l'exception à la règle concernant la rapidité de réaction dans le monde de l'open source ?
Pour ceux qui ont besoin du plugin Java, il existe NoScript, une extension pour Firefox qui permet une protection supplémentaire pour Firefox : NoScript ne permet l’exécution des scripts de JavaScript que pour les sites de confiance (par exemple, votre banque, un site gouvernemental,...) et bloque préventivement l'accès aux autres domaines. il faut bien évidement paramétrer NoScript qui demandera à l'ouverture d'une page si vous autorisez ou non l'activation de Java :
NoScript se paramètre facilement et permet la gestion de liste blanche (sites autorisés en permanence), une gestion avancée des objets à restreindre (Adobe Flash, Microsoft Silverlight, autres plugins), autres paramètres avancés pour les paranos (ou non).
Plus d'info sur le 0-day : korben, Tuxplanet, The Next Web, Le Monde Informatique (Les Mac sous la menace d'une dangereuse faille zéro-day dans Java).
Pour tester la vulnérabilité de son navigateur, aller sur la page de Zscaler