Oracle corrige en urgence une faille de l'installateur Java

Après avoir déjà dévoilé quelque 248 correctifs de sécurité la semaine dernière, Oracle a publié vendredi un correctif d'urgence pour combler une vulnérabilité dans le programme d'installation de Java pour Windows.

C’est assez rare pour être noté : Oracle vient de publier un correctif en urgence pour Java hors de son calendrier traditionnel de publication de correctif. L’éditeur a pris cette décision pour combler une vulnérabilité lors de l’installation sur les plates-formes Windows

Selon un billet de blog publié par Eric Maurice, le directeur du contrôle de la qualité logicielle d’oracle, la vulnérabilité référencée CVE-2016-0603 affecte l’installation de la mouture la plus récente de Java, Java8, mais aussi les versions 6 et 7 de la technologie sous Windows.

Pour être exploité, la vulnérabilité suppose que l’attaquant redirige avec succès un utilisateur vers un site malicieux et lui fasse télécharger des fichiers avant d’installer Java 6, 7 or 8. Complexe à exploiter, la faille permet toutefois, la prise de contrôle complète d’un PC à distance.

Un faille qui se manifeste à l'installation de Java

La vulnérabilité n’étant exploitable que lors du processus d’installation de Java, les utilisateurs disposant déjà de Java sur leur machine n’ont pas à mettre à jour leur installation. Toutefois les utilisateurs qui ont téléchargé des versions de Java antérieures à Java 6u113, Java 7u97 et Java 8u73, sont fortement incités à supprimer le programme d’installation de ces versions pour les remplacer par les installeurs de Java 6u113, Java 7u97 ou Java 8u73 qui sont exempt de la vulnérabilité CVE-2016-0603.

Oracle en profite pour conseiller aux utilisateurs de se rendre sur le site Java.com pour vérifier qu’ils font tourner la dernière mouture de Java SE et que leurs anciennes versions de la technologie ont bien été effacées dans leur totalité. Oracle conseille aussi de ne pas télécharger un installeur Java depuis un site autre que Java.com.

L'éditeur de Redwood City avait déjà publié un train record de correctifs la semaine dernière avec plus de 248 patches. Des détails sur le dernier correctif sont disponibles sur le site web de l’éditeur. Terminons en rappelant qu'Oracle a confirmé que Java 9, la prochaine version majeure de Java, ne sera pas disponible avant mars 2017 alors qu'elle était à l'origine attendue pour septembre 2016

Pour approfondir sur Menaces, Ransomwares, DDoS