Oracle corrige 17 failles de sécurité dans Java, dont 10 critiques
Au pire, passez au madison
Oracle vient de publier une mise à jour de sécurité importante pour son environnement de Java. Au programme, des correctifs pour 17 failles de sécurité.
Cette mise à jour est d’autant plus importante que 9 failles sur les 17 ont un CVSS (Common Vulnerability Scoring System) de 10, soit le score maximal en termes de dangerosité. Sur son blog, Oracle indique qu’une exploitation réussie de l’une de ces 9 failles permettrait une prise de contrôle complète sur la machine. Ce score rapporté est en fait le plus élevé obtenu en fonction des plateformes. Il est en fait obtenu dans le cas de Windows om de nombreux comptes utilisateurs sont configurés en tant qu’administrateurs. Sur des systèmes où Java est exécuté avec moins de privilèges, le score est de 7.5. L’application Java peut alors être compromise, mais pas le reste du système.
La mise à jour vient notamment corriger des failles qui permettent des fuites depuis la sandbox dans laquelle sont exécutés les applications Java Web Start et les applets non signés et plus globalement à qui on ne peut pas faire confiance. L’exploitation d’une de ces failles permettrait par exemple à du code malveillant d’un applet Java de transpirer à travers la barrière.
Au vu la dangerosité de ces failles, Oracle recommande une mise à jour aussi rapide que possible. Vous pourrez vérifier depuis cette page la version que vous possédez. Si vous n’êtes pas à jour, le site vous proposera de récupérer la dernière version. Sous Windows, Java peut également se mettre à jour automatiquement.
Cette mise à jour est d’autant plus importante que 9 failles sur les 17 ont un CVSS (Common Vulnerability Scoring System) de 10, soit le score maximal en termes de dangerosité. Sur son blog, Oracle indique qu’une exploitation réussie de l’une de ces 9 failles permettrait une prise de contrôle complète sur la machine. Ce score rapporté est en fait le plus élevé obtenu en fonction des plateformes. Il est en fait obtenu dans le cas de Windows om de nombreux comptes utilisateurs sont configurés en tant qu’administrateurs. Sur des systèmes où Java est exécuté avec moins de privilèges, le score est de 7.5. L’application Java peut alors être compromise, mais pas le reste du système.
La mise à jour vient notamment corriger des failles qui permettent des fuites depuis la sandbox dans laquelle sont exécutés les applications Java Web Start et les applets non signés et plus globalement à qui on ne peut pas faire confiance. L’exploitation d’une de ces failles permettrait par exemple à du code malveillant d’un applet Java de transpirer à travers la barrière.
Au vu la dangerosité de ces failles, Oracle recommande une mise à jour aussi rapide que possible. Vous pourrez vérifier depuis cette page la version que vous possédez. Si vous n’êtes pas à jour, le site vous proposera de récupérer la dernière version. Sous Windows, Java peut également se mettre à jour automatiquement.
Source :
Oracle
Vincent Hermann
le 9 juin 2011 à 16:33
(12 973
lectures)
Actualités et brèves relatives
- 30 / 05 / 2011 : Microsoft toucherait 5 dollars par smartphone Android HTC vendu
- 25 / 05 / 2011 : Minecraft sera disponible sur le Xperia Play dans l'année
- 25 / 03 / 2011 : BlackBerry PlayBook : des apps bâties sur Java, HTML, C/C++...
- 20 / 01 / 2011 : Python élu langage de l'année 2010 par TIOBE
- 23 / 12 / 2010 : VirtualBox 4.0 : nombreuses nouveautés pour le client de ...
- 13 / 12 / 2010 : Spécifications Java : la fondation Apache démissionne du comité
- 13 / 11 / 2010 : Oracle et Apple ensemble sur OpenJDK : tout s'explique
- 22 / 10 / 2010 : Apple ne gérera plus Java : un rapport avec le Mac App Store ?
