Vulnérabilité critique non corrigée dans Java (27/08/12)
MAJ 30/08/12 : un correctif officiel est désormais disponible
RESUME :
Un nouveau défaut de sécurité a été
identifié dans l'environnement Java, un logiciel gratuit
qui permet aux navigateurs web d'exécuter les applications
du même nom. L'exploitation d'une erreur dans le gestionnaire de sécurité intégré à Java permet à un individu malveillant ou à un virus
d'exécuter du code malicieux sur l'ordinateur de sa victime à l'ouverture d'une page web piégée.
LOGICIELS CONCERNES :
Oracle Java JDK 7 Update 6 et versions antérieures
RISQUE :
Critique
CORRECTIF :
Aucun
correctif n'est disponible pour le moment car ce défaut de
sécurité a été découvert alors
qu'il était déjà exploité de façon
malveillante (0-day), sous la forme de pages web piégées destinées à infecter à leur insu les ordinateurs des internautes.
En attendant la publication d'un correctif officiel, les utilisateurs
concernés peuvent appliquer les mesures suivantes afin de
réduire les risques d'exploitation malveillante :
- se montrer particulièrement vigilant dans son utilisation
d'Internet, notamment vis-à-vis des fichiers douteux, des
liens hypertextes non sollicités ou des sites web non reconnus
comme sûrs (notamment les messages provenant d'un expéditeur
inconnu, les cartes postales virtuelles, etc.) ;
- désactiver la prise
en charge de Java dans le navigateur web
puis vérifier sa désactivation via le site
de l'éditeur OU désinstaller
le logiciel (Menu Démarrer > Panneau de
Configuration > Ajout/suppression de programmes > sélectionner Java (TM) puis presser le bouton Désinstaller). NB : ces solutions temporaires
peuvent perturber l'apparence
et/ou le fonctionnement de certains sites Internet ;
- installer un logiciel antivirus et vérifier qu'il est paramétré pour se mettre à jour automatiquement. Les éditeurs publient
généralement de nouvelles signatures pour tenter
de reconnaître et d'intercepter les fichiers malicieux exploitant
les failles de sécurité non corrigées.
L'éditeur du logiciel n'a pour le moment donné aucune information quant à la publication d'un correctif officiel. Les utilisateurs concernés peuvent
s'abonner gratuitement à la lettre Secuser Securite pour être informés par
courrier électronique de sa disponibilité.
INFORMATIONS COMPLEMENTAIRES :
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|