Vidéo: Java Runtime Environment not found Решение (Novembre 2024)
Oracle a publié une mise à jour d'urgence destinée à résoudre un grave problème de sécurité en Java, déjà utilisé par des attaquants pour pénétrer dans les ordinateurs des utilisateurs.
Le correctif hors bande corrige la vulnérabilité critique récemment découverte dans Java 7 d'Oracle, a déclaré Oracle dans son avis de sécurité publié le 13 janvier. Un attaquant exploiterait la dernière vulnérabilité en poussant les utilisateurs vers un site Web exécutant une applet illicite. Les utilisateurs sont invités à mettre immédiatement à jour Java 7 Update 11.
Java 7 Update 11 atténue à la fois CVE-2013-0422 (dernière vulnérabilité) et CVE-2012-3174, un ancien bogue d'exécution de code à distance remontant à juin dernier. Les deux failles ont reçu la note 10 du système de notation de vulnérabilité commune, soit la note maximale possible sur cette échelle. Dans ce correctif, Oracle corrigeait la faille et changeait également la manière dont Java interagissait avec les applications Web.
"Le niveau de sécurité par défaut pour les applets Java et les applications de démarrage Web a été augmenté de" moyen "à" élevé ", a déclaré Oracle dans cet avis.
Cela signifie que l'utilisateur sera toujours invité à exécuter un applet Java non signé ou une application Web Start. Auparavant, les applets et applications Java s'exécutaient automatiquement si la dernière version de Java était installée sur les utilisateurs. Avec le paramètre "élevé", l'utilisateur est toujours averti avant l'exécution d'une application non signée afin que les attaquants ne puissent pas lancer d'attaques silencieuses, a déclaré Oracle.
Patch hors bande
Un correctif d'urgence d'Oracle est inhabituel. La société corrige généralement Java tous les trimestres, mais a probablement publié ce correctif hors bande, car le code d’attaque exploitant cette vulnérabilité a déjà été ajouté à plusieurs kits d’exploitation populaires, notamment "Blackhole" et "NuclearPack". Les kits Crimware permettent aux criminels d’infecter plus facilement les ordinateurs avec des logiciels malveillants et de s’approprier les ordinateurs à leurs propres fins. Les chercheurs ont déjà découvert des sites Web exécutant le code, bien que l'on ne sache pas pour l'instant combien d'utilisateurs ont déjà été compromis.
Auparavant, Oracle avait publié un correctif hors bande l'automne dernier, après que des chercheurs eurent découvert une faille similaire d'exécution à distance.
Affecte Java dans les navigateurs Web, pas sur le bureau
Il est important de garder à l'esprit que les deux vulnérabilités d'exécution de code à distance corrigées dans cette mise à jour ne sont "applicables qu'à Java dans les navigateurs Web car elles sont exploitables à l'aide d'applets de navigateur malveillantes", a déclaré Eric Maurice, directeur de la sécurité des logiciels Oracle sur le logiciel Oracle Software Security Assurance.. Si vous n'accédez pas régulièrement à des sites Web exécutant Java, désactivez le plug-in Java dans votre navigateur. Voici les instructions pas à pas sur la façon de désactiver Java à partir de Neil Rubenking de SecurityWatch.
De nombreuses applications de bureau et jeux populaires (Minecraft, ça vous tente?) Utilisent Java, mais le client Java local n'est pas attaqué.
"Ces vulnérabilités n'affectent pas Java sur les serveurs, les applications de bureau Java ou Java intégré", a écrit Maurice.
