Oracle corrige la faille critique de Java en trois jours

Oracle a corrigé en urgence une faille critique dans le runtime Java 7 (CVE-2013-0422) en publiant hier l’update 11 des JDK et Jre Java 7. La faille, que nous signalions dans nos colonnes vendredi était déjà exploitée sur Internet et pouvaient permettre à des hackers malveillants de prendre le contrôle à distance de machines via une faille dans le plug-in Java.

Oracle a corrigé en urgence une faille critique dans le runtime Java 7 ( CVE-2013-0422) en publiant hier l’update 11 des JDK et Jre Java 7. La faille, que nous signalions dans nos colonnes vendredi était déjà exploitée sur Internet et pouvaient permettre à des hackers malveillants de prendre le contrôle à distance de machines via une faille dans le plug-in Java. La nouvelle version est téléchargeable sur le site Java.com et son installation est urgente pour tous ceux qui ont besoin du plug-in Java. 

Habituellement très critiqué pour sa lenteur à produire des correctifs, Oracle n’aura cette fois-ci mis que trois jours à produire une rustine pour Java 7. Il est vrai que l’enjeu est de taille. Face à la multiplication récente des failles, les appels à désinstaller Java (ou du du moins le plug-in Java dans les navigateurs web) se sont multipliés au cours des dernières semaines. 

Comme pour d’autres technologies (Acrobat, Flash…), la recommandation est toujours la même. Si vous n’avez pas besoin de la technologie au quotidien, au si vous pouvez vous passer du plug-in ad hoc,  ne pas l’installer est sans doute la chose la plus raisonnable, afin de réduire le profil d’attaque sur vos navigateurs web. Après tout, ces derniers contiennent déjà suffisamment de failles pour éviter d’en ajouter d'autres avec des plug-ins plus ou moins mal développés.  

Pour approfondir sur Menaces, Ransomwares, DDoS