Vidéo: How to Install Java JDK on Windows 10 ( with JAVA_HOME ) (2020) (Novembre 2024)
Oracle a publié une autre mise à jour d'urgence pour Java. Il s'agit de la troisième mise à jour d'urgence publiée en 2013 par la société pour résoudre les problèmes de sécurité béants en Java, déjà utilisés lors d'attaques.
Les dernières mises à jour, Java 7 mise à jour 17 et Java 6 mise à jour 43, traitent de CVE-2013-1493 et d'une vulnérabilité associée (CVE-2013-0809), a déclaré Oracle dans son avis de sécurité publié lundi. Les deux vulnérabilités affectent le composant 2D de Java SE, qui gère les graphiques d'exécution et le rendu des images, selon un article de blog d'Eric Maurice, directeur de la sécurité du logiciel chez Oracle.
Tous les utilisateurs de Java doivent immédiatement passer aux dernières versions, a indiqué la société.
"Ces vulnérabilités peuvent être exploitables à distance sans authentification, c'est-à-dire qu'elles peuvent être exploitées sur un réseau sans avoir besoin d'un nom d'utilisateur et d'un mot de passe", écrit Oracle.
Les pirates peuvent amener les utilisateurs peu méfiants à visiter un code d’hébergement de page Web malveillant provoquant ces failles de sécurité, a déclaré Oracle. Les chercheurs ont découvert des attaques dans la nature infectant les ordinateurs des utilisateurs avec le cheval de Troie d'accès distant McRAT. McRAT contacte les serveurs de commande et de contrôle et se copie dans les processus du système d'exploitation Windows.
Les opérations réussies, "en cas de succès, " peuvent avoir une incidence sur la disponibilité, l'intégrité et la confidentialité du système de l'utilisateur ", écrit Oracle.
Beaucoup de mises à jour, désactivez si vous le pouvez
Oracle a mis à jour Java à la mi-janvier et au début du mois de février avec des mises à jour d'urgence après la publication, à Noël, de rapports faisant état d'une série d'attaques de type abreuvoir visant différents sites. La société a déployé une mise à jour planifiée traitant de 50 bogues le 19 février. Ces deux bogues ont été signalés à Oracle le 1er février, mais n'ont pas pu être inclus dans la mise à jour du 19 février, a écrit Maurice.
Considérant que la prochaine mise à jour Java prévue était en avril, la société a décidé de publier un correctif hors bande, car la faille était activement utilisée dans des attaques.
"Afin de contribuer au maintien de la sécurité de tous les utilisateurs de Java SE, Oracle a décidé de publier dès que possible un correctif pour cette vulnérabilité et un autre bogue étroitement lié", écrit Maurice.
Maurice a assuré aux utilisateurs que ces problèmes ne concernaient que des applications Java exécutées dans des navigateurs Web et ne s'appliquaient pas à Java s'exécutant sur des serveurs, des applications de bureau Java autonomes, des applications Java intégrées ou des logiciels basés sur un serveur Oracle. De nombreux experts en sécurité et l'équipe d'intervention en cas d'urgence informatique (CERT) du département de la Sécurité intérieure recommandent aux utilisateurs de désactiver le plug-in Java dans leur navigateur s'ils ne l'utilisent pas régulièrement.
Si l'utilisateur a besoin de Java, qui couvre la grande majorité des utilisateurs professionnels et du monde de l'éducation, il vaut la peine de conserver un navigateur séparé avec le plug-in Java installé et d'utiliser ce navigateur pour accéder uniquement à ces sites.
"C’est bien de voir Oracle réagir plus rapidement face aux vulnérabilités critiques, mais il est grand temps qu’ils approfondissent les problèmes de sécurité de Java", a déclaré Lamar Bailey, directeur de la recherche et du développement en matière de sécurité chez nCircle. "J'espère qu'Oracle a déjà affecté une équipe de leurs meilleurs ingénieurs en sécurité à résoudre de manière proactive les problèmes de sécurité Java restants, mais en attendant, les utilisateurs mettront à jour Java autant de fois qu'ils mettront à jour les signatures AV", a-t-il déclaré.
Java 6 est entré en fin de vie en février, suscitant des inquiétudes quant à savoir si Oracle laisserait l'ancienne version sans correctif. Oracle corrigé Java 6 dans cette mise à jour, qui est toujours utilisé par de nombreux utilisateurs. La manière dont Oracle gérera les correctifs pour Java 6 au cours des prochains mois n’est pas claire.
"J'ai toujours pensé que Oracle sécurisait leurs produits, mais la récente flambée de vulnérabilités de Java me fait perdre confiance", a déclaré Bailey, se demandant quel genre de problèmes de sécurité graves affectent les autres produits Oracle..
Plus de bugs Java trouvés
Dans un jeu en cours de chat et de souris, une mise à jour de Java signifie qu'il est temps de divulguer davantage de vulnérabilités. Adam Gowdiak, responsable de la société de recherche polonaise Security Explorations, a découvert cinq autres problèmes liés à Java 7.
"Cinq nouveaux problèmes de sécurité ont été découverts dans Java SE 7 (numérotés de 56 à 60), qui, une fois combinés, peuvent être utilisés avec succès pour obtenir un contournement complet du sandbox de sécurité Java dans l'environnement de Java SE 7, mise à jour 15", a écrit Gowdiak lundi. Liste de diffusion Bugtraq. Il semble que les attaquants pourraient utiliser ces problèmes pour casser certaines des vérifications de sécurité récemment effectuées par Oracle, a déclaré Gowdiak. Les cinq problèmes doivent être utilisés ensemble pour que l'attaque réussisse. Gowdiak a déjà soumis des informations détaillées et un code de validation technique à Oracle.
Deux des problèmes peuvent également affecter Java 6, mais cela n’a pas été confirmé.
"Java se révèle être le cadeau que l'on continue à offrir aux attaquants", a déclaré Andrew Storms, directeur des opérations de sécurité de nCircle, à SecurityWatch . Il a prédit des attaques plus ciblées contre les grandes entreprises et les entités gouvernementales. "La mauvaise nouvelle avec Java ne fait que s'aggraver et il n'y a pas de fin en vue", a-t-il déclaré.
