Correctif Java : tous les problèmes ne sont pas réglés

Date : vendredi 05 avril 2013 @ 08:53:51 :: Sujet : info_piratage

Sécurité : Malgré le correctif de sécurité diffusé en urgence par Oracle, des failles persistent dans le logiciel, alertent des experts en sécurité. Pour l’un deux, HD Moore, il devrait falloir deux ans à Oracle pour colmater toutes les brèches.

Dimanche 13 janvier, Oracle a diffusé en urgence un correctif de sécurité pour Java, dont des vulnérabilités sont actuellement activement exploitées pour des attaques. Le problème est-il donc désormais résolu – au moins jusqu’à la découverte d’autres failles ?

Ce n’est pas l’avis partagé par plusieurs spécialistes de la sécurité. Adam Gowdiak de Security Explorations a ainsi analysé la mise à jour Java publiée par Oracle. Et le constat est sévère pour l’éditeur : plusieurs failles de sécurité critiques persistent.

Une désactivation de Java à maintenir

« Nous ne pouvons affirmer aux utilisateurs qu’il est de nouveau sûr d’autoriser Java » tranche-t-il sans ambages. Une position qu’avait déjà adoptée Jaime Blasco de la société de sécurité AlienVault Labs : « Java est un désordre. Il n’est pas sécurisé. Vous devez le désactiver ».

Et l’avenir de Java n’apparaît pas plus prometteur. Interrogé par Reuters, le créateur de Metasploit et chercheur en sécurité pour Rapid7, HD Moore, estime que cela pourrait prendre deux ans à Oracle pour corriger les failles identifiées dans l’application Java, activée dans la grande majorité des navigateurs Web – et ce sans tenir compte de la découverte durant cette période de nouvelles vulnérabilités.

Le conseil d’HD Moore ? « La chose la plus sûre à ce stade est de considérer que Java restera toujours vulnérable. Les gens n’ont pas réellement besoin de Java sur leur poste de travail ».

Face aux risques de sécurité découlant de ces failles, le département américain de la sécurité préconisait dès le 10 janvier aux utilisateurs et administrations de désactiver temporairement Java. Apple a pris les devants via une mise à jour de son filtre anti-malware XProtect en désactivant Java sur les versions Mountain Lion et Lion d’OS X.








Cet article provient de ILOTECH.com

L'URL pour cet article est : http://ilotech.com/article.php?sid=1231