|
Vulnérabilités
critiques dans Java (12/04/10)
MAJ 15/04/10 : un correctif
officiel est désormais disponible
MAJ 14/04/10 : première exploitation
malveillante de ces failles
RESUME :
Deux nouveaux défauts de sécurité ont été
identifiés dans l'environnement Java, un logiciel gratuit
qui permet aux navigateurs web d'exécuter les applications
du même nom. L'exploitation d'erreurs dans le Java Deployment
Toolkit et le nouveau Java Plug-in peut permettre à un individu
malveillant ou à un virus d'exécuter à distance du
code malicieux sur l'ordinateur de sa victime à l'ouverture
d'une page web piégée.
LOGICIELS CONCERNES :
Sun JDK 6 Update 19 et versions antérieures
Sun JRE 6 Update 19 et versions antérieures
RISQUE :
Critique
CORRECTIF :
Les utilisateurs concernés doivent installer immédiatement la nouvelle
version correspondant à leur logiciel en la téléchargeant
sur le site
de l'éditeur, afin de prévenir toute exploitation malveillante
de ces défauts de sécurité. Les utilisateurs
ne sachant pas si ce logiciel est installé sur leur ordinateur
peuvent utiliser le même lien pour le savoir.
NB : suite à un accord commercial entre Sun et Yahoo!, les
utilisateurs sont incités à installer la barre d'outils
Yahoo! (Yahoo! toolbar) en même temps que la mise à
jour Java. Cette barre d'outils n'a pas de rapport avec le correctif
de sécurité et a notamment pour fonction de collecter
des informations, aussi à moins que vous ne souhaitiez effectivement
l'installer, il convient de décocher la case précochée
avant de presser le bouton "Suivant" :
Si vous êtes intéressé par la barre d'outils
Yahoo!, il est recommandé d'en lire attentivement les conditions
d'utilisation afin d'être informé du détails
des fonctionnalités de cette barre d'outils et des contreparties.
14/04/10 : première exploitation
malveillante de ces failles, utilisant un code similaire à
celui diffusé par l'expert en sécurité pour
tenter d'infecter les visiteurs du site songlyrics.com, depuis un
serveur basé en Russie.
12/04/10 : aucun correctif n'est disponible
pour le moment, le découvreur de ces failles - membre de
l'équipe de sécurité de Google - ayant fait
le choix de rendre publique leur existence sans attendre la disponibilité
d'un correctif. Le
risque d'utilisation malveillante est par ailleurs maximum, le détail
du code permettant d'exploiter ces failles de sécurité
ayant également été rendu public par son découvreur.
INFORMATIONS COMPLEMENTAIRES :
-> Oracle
Security Alert CVE-2010-0886 (en anglais)
-> Java
SE 6 Update 20 Release Notes (en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|
