Vidéo: How to Update the Java Database (Novembre 2024)
En juin, nous vous avions expliqué comment Oracle s'était engagé à améliorer Java et à mettre à jour la plate-forme plus fréquemment. Ce fut la pierre angulaire d'une série d'épisodes embarrassants où Java était utilisé encore et encore pour attaquer les utilisateurs. Cette semaine, Oracle a publié la première d'une nouvelle série de mises à jour pour Java, qui, espère-t-il, rendra plus sécuritaires les trois milliards d'appareils qui exécutent leur produit. C'est peut-être vrai, mais la mise à jour est terriblement volumineuse et a des implications tout aussi terrifiantes.
Patcher plus vite
Auparavant, Java était mis à jour trois fois par an, mais à compter de cette semaine, il sera mis à jour tous les trois mois, de même que le reste des produits Oracle, dans le cadre de leur mise à jour critique, ou de leur processeur (je vois ce que vous y avez fait, Oracle).
Dans son ensemble, la mise à jour comprend 127 correctifs de sécurité. Parmi ceux-ci, 51 sont destinés à Java et, voici la partie effrayante, 50 de ces vulnérabilités pourraient, selon les termes d'Oracle, "être exploitables à distance sans authentification".
Mais oh, ça va mieux. Wolfgang Kandek, CTO, écrit sur le blog de Qualys "12 vulnérabilités ayant le score CVSSv2 le plus élevé sur 10, indiquant qu'elles peuvent être utilisées pour prendre le contrôle intégral de la machine attaquée sur le réseau sans nécessiter d'authentification." Il ajoute que la plupart des mises à jour concernent les utilisateurs d'ordinateurs portables et de bureaux (par exemple, vous qui lisez ceci à l'heure actuelle), mais il existe deux mises à jour extrêmement critiques liées aux installations de serveurs.
Temps de mise à jour!
La plupart des utilisateurs recevront probablement les mises à jour automatiquement mais, pour être sûr, Oracle a fourni une page utile pour tester la version que vous utilisez. S'il détecte une installation obsolète, il vous sera demandé de télécharger et d'installer la mise à jour. Notez que la version la plus récente de cette semaine est Java 7 update 45.
Je vais prendre une seconde pour rappeler aux utilisateurs d’être très prudents lors de la mise à jour manuelle de Java, car ils essaieront de vous convaincre d’installer la barre d’outils Ask.com et de changer votre moteur de recherche par défaut en Ask.
Trop petit?
Bien qu'il soit bon de voir Oracle intensifier son jeu de sécurité, tout le monde n'a pas envie de prendre la décision d'Oracle. Chester Wisniewski, conseiller principal en sécurité chez Sophos, a écrit sur le blog de son entreprise que cela semblait trop peu, trop tard. "Si votre réputation est aussi mauvaise et que vous exposez plus d'un milliard d'utilisateurs à vos défauts, vous devez réagir plus rapidement."
Wisniewski a ensuite insinué que les priorités d'Oracle étaient mal alignées et a eu l'audace d'attaquer le bateau de la marque Oracle de Larry Ellison qui a récemment remporté la Coupe de l'America. "Mettez le prix sur l'étagère dans votre hall, vendez le bateau de dix millions de dollars et embauchez les ingénieurs nécessaires pour mettre à jour le cycle de patchs Java tous les mois avec l'argent disponible", a écrit Wisniewski. "Plus de 3 milliards d'appareils vous remercieront."
La mise à jour de votre installation Java est le meilleur moyen de rester protégé contre les attaques basées sur Java, qui sont intégrées à de nombreux kits d'exploitation et fréquemment utilisées par des attaquants. Bien sûr, vous pouvez toujours débrancher le câble et désactiver complètement Java.
