Oracle corrige en "urgence" les failles dans Java 7

  Sous la pression de multiples exploits, Oracle a du se résoudre à mettre à jour Java 7 pour encombler les failles.

  javase7
Sous la pression de multiples exploits, Oracle a
du se résoudre à mettre à jour Java 7 pour en
combler les failles.

Oracle a finalement cédé à la pression et publié un correctif en urgence pour combler les failles zero-day de Java 7 récemment exploitées sur Internet. Plusieurs failles dans le runtime Java 7 ont permis à des hackers de construire un exploit pour prendre le contrôle à distance de toute machine utilisant Java 7 et surfant sur un site malicieux utilisant l’exploit. Depuis, ces failles ont été incorporées dans les outils automatisés d’exploitation de failles les plus communs du marché tel que l’outil de test de pénétration Metasploit ou l’atelier de malware Blackhole.

Pour Oracle, il était donc devenu urgent d’agir sous peine de voir se multiplier les attaques, mais aussi sous peine de voir les entreprises inactiver Java sur les postes de leurs utilisateurs plutôt que de courir le risque de voir leurs machines compromises.

On ne peut pas dire qu’Oracle aura été très rapide. La société d’analyse de sécurité polonaise Security Explorations avait ainsi transmis à Oracle une liste de 19 vulnérabilités dans le runtime Java 7 le 2 avril 2012 dernier, ainsi que les codes de 14 exploits démontrant l’exploitabilité de ces failles. Cela faisait donc cinq mois qu’Oracle était au courant des dangers.

On sait la firme généralement inflexible sur ses calendriers de correctifs. Mais avec la publication récente dans la nature d’exploits Java 7, Oracle n’avait d’autre choix que de réagir sous peine de courir le risque d’un désastre sécuritaire et médiatique, de nature à nuire à l’image de Java. A l’origine, Oracle pensait pouvoir tenir jusqu’au 16 octobre, mais l’éditeur a finalement rendu les armes et publié un correctif pour la plupart des failles hier. Ce correctif passe le Runtime en version 7 update 7 (7u7) .

Les versions mises à jour de Java sont téléchargeables sur le site java.com. Il est préconisé de les installer en urgence pour tout utilisateur de Java 7.

A lire aussi sur LeMagIT :

Une faille zero-day perce Java 7

Pour approfondir sur Menaces, Ransomwares, DDoS