Vulnérabilité critique non corrigée dans Java (10/01/13)
MAJ 19/01/13 : le défaut de sécurité reste exploitable malgré le correctif
MAJ 13/01/13 : un correctif officiel est désormais disponible
RESUME :
Un nouveau défaut de sécurité a été
identifié dans Java, un logiciel couramment intégré aux navigateurs web pour leur permettre d'exécuter les applications
du même nom. L'exploitation d'une erreur non spécifiée peut permettre à un individu malveillant ou à un virus
d'exécuter du code malicieux sur l'ordinateur de sa victime à l'ouverture d'une page web piégée.
LOGICIEL(S) CONCERNE(S) :
Oracle Java JDK 7 Update 10 et versions antérieures
Oracle Java JRE 7 Update 10 et versions antérieures
RISQUE :
Critique
CORRECTIF :
Aucun
correctif n'est disponible pour le moment car ce défaut de
sécurité a été découvert alors
qu'il était déjà exploité de façon
malveillante (0-day), sous la forme de pages web piégées destinées à infecter à leur insu les ordinateurs des internautes.
En attendant la publication d'un correctif officiel, les utilisateurs
concernés peuvent appliquer les mesures suivantes afin de
réduire les risques d'exploitation malveillante :
- se montrer particulièrement vigilant dans son utilisation
d'Internet, notamment vis-à-vis des fichiers douteux, des
liens hypertextes non sollicités ou des sites web non reconnus
comme sûrs ;
- désactiver la prise
en charge de Java par les navigateurs dans le cas de la version Java 7 update 10
(Menu Démarrer > Panneau de
Configuration > Programmes > Java > onglet Sécurité > décocher la case "Activer le contenu Java dans le navigateur" > presser Appliquer puis OK) puis redémarrer le navigateur :
OU désinstaller
le logiciel dans le cas des versions inférieures (Menu Démarrer > Panneau de
Configuration > Ajout/suppression de programmes > sélectionner Java (TM) puis presser le bouton Désinstaller). NB : ces solutions temporaires
peuvent perturber l'apparence
et/ou le fonctionnement de certains sites Internet ;
- installer un logiciel antivirus et vérifier qu'il est paramétré pour se mettre à jour automatiquement. Les éditeurs publient
généralement de nouvelles signatures pour tenter
de reconnaître et d'intercepter les fichiers malicieux exploitant
les failles de sécurité non corrigées.
Il est possible de vérifier la désactivation de Java ou de déteminer si ce logiciel est actif sur votre ordinateur (et de connaître la version installée) via le site
de l'éditeur.
L'éditeur du logiciel n'a pour le moment donné aucune information quant à la publication d'un correctif officiel. Les utilisateurs concernés peuvent
s'abonner gratuitement à la lettre Secuser Securite pour être informés par
courrier électronique de sa disponibilité.
INFORMATIONS COMPLEMENTAIRES :
-> Oracle Security Alert for CVE-2013-0422 (en anglais)
-> FAQ
: comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ
: comment déterminer le numéro de version de votre
logiciel?
-> Abonnement
gratuit à la lettre Secuser Securite pour être informé
par courriel des nouvelles failles
|