Java : Un correctif de sécurité transmis en urgence
Java subissait une importante faille depuis quelques jours.
Un bulletin d’alerte avait également été émis, il invitait les internautes à désactiver le logiciel. Oracle vient de diffuser en urgence un correctif, mais tous les problèmes ne seraient pas réglés.
Java se retrouvait au cœur d’une actualité assez complexe après l’alerte de l’US-CERT. Une importante faille de sécurité avait été détectée et un bulletin d’alerte invitait les internautes à désactiver le logiciel. Oracle a donc été contraint d’agir rapidement puisque l’annonce avait été très importante en cette fin de semaine. Cette faille permettait à des personnes malveillantes d’effectuer un code à distance. Il faut savoir que Java avait déjà fait l’objet d’une vulnérabilité il y a quelques mois. Face à cette situation, Oracle a proposé sur son site Internet un correctif, mais certains experts estiment que tous les problèmes ne sont pas réglés. Aujourd’hui, plusieurs failles de sécurité seraient toujours détectées. Reuters a rapporté les propos d’Adam Gowdiak de Security Explorations. Il souhaite mettre en garde les internautes, car le correctif n’aurait pas comblé toutes les lacunes.
« Java sera toujours vulnérable »
De nombreux experts comme Jaime Blasco rejoignent son avis, Java ne serait pas sûr, « C’est un désordre. Il n’est pas sécurisé. Vous devez le désactiver ». Ce correctif ne serait donc qu’une goutte d’eau dans la mer, car les problèmes de Java sont bien plus importants. Selon un chercheur, HD Moore, Oracle devrait mettre près de deux ans à corriger l’intégralité des vulnérabilités observées. Ce délai ne prendrait pas en compte d’éventuelles failles découvertes au cours des prochains mois. Il estime que les internautes n’ont pas besoin de Java sur leur ordinateur. Comme ce logiciel n’est pas indispensable, il conseille de le désactiver « La chose la plus sûre à ce stade est de considérer que Java restera toujours vulnérable ».
Java est souvent utilisée par les personnes malveillantes, ils exploitent les failles notamment pour créer un Cheval de Troie. Selon les informations transmises avec ce correctif, cette mise à jour devrait modifier la manière dont le logiciel interagit avec les applications web.