Oracle veut rassurer sur Java, sans réel succès

Lors d’une conférence téléphonique d’une heure (à réécouter

ici) la semaine dernière, Milton Smith, responsable de la sécurité Java chez Oracle s’est engagé hier à deux choses : la première est de réparer les différentes failles présentes dans Java, et la deuxième de mieux communiquer sur ce sujet avec la communauté d’utilisateurs. Face aux dernières failles, ceux-ci et en particulier le

département de la sécurité intérieure américain étaient particulièrement remontés. Malgré toutes ces explications, cela suffira-t-il à rassurer l’utilisateur lambda ? Rien n’est moins sûr. En effet, dimanche dernier, une nouvelle faille de Java a été signalée sur le 

Bugtrak. Celle-ci permet de by-passer le niveau de sécurité demandé par Java et d'exécuter des modules non signés, même avec un niveau de sécurité en théorie élevé. Et si cela ne suffisait pas, Doland Smith, responsable de l’équipe OpenJDK chez Oracle, a confirmé que l’installeur Java sous Windows continuera à proposer par défaut l’installation d’autres logiciels comme la barre Ask.com. Ce qui peut être potentiellement dangereux pour l’utilisateur final, selon

Ben Edelman, professeur associé à Harvard et spécialiste de la fraude en ligne.