50 failles Java corrigées en avance par Oracle
Urgence, vous avez dit urgence ?
L’environnement Java subit depuis quelques mois de nombreuses failles qui lui donnent particulièrement mauvaise presse. Alors que les semaines passent et que de nouvelles brèches n’en finissent plus d’être découvertes, Oracle a décidé d’avancer de deux semaines la publication d’une importante mise à jour.
C’est donc avec deux semaines d’avance qu’Oracle diffuse la mise à jour 13 pour Java 7. Initialement programmée pour le 19 février, elle est littéralement sortie des rails du cycle mensuel habituel. La raison est simple : les failles de sécurité s’accumulent, pour la plupart critiques, et aucun correctif n’est présent alors que leurs exploitations ont déjà été signalées.
La mise à jour proposée, que l’on peut récupérer sur le site de Java ou depuis le panneau de gestion dans le système d’exploitation, est donc critique. Elle corrige pas moins de 50 failles, mais toutes ne concernent pas directement l’environnement d’exécution Java proprement dit. Il s’agit d’un package comprenant notamment des correctifs pour 11 failles de JavaFX. En outre, cette grande mise à jour ne touche pas nécessairement qu'à la version 7 du JRE.
Oracle indique sur son site que sur les 50 failles corrigées, 49 peuvent l’être de manière distante. Cela se fera sur une page spécialement conçue pour l’occasion et via un applet Java ou une application Java Web Start. L'éditeur précise cependant que l’impact des failles peut être amoindri si l’utilisateur dispose de droits limités, et n’est donc pas administrateur de sa machine.
Signalons également que depuis la mise à jour 11, l’exécution des contenus Java se fait en sécurité « haute » et que chaque exécution d’une application ou d’un applet demande à l’utilisateur une confirmation.
Le fait qu’Oracle ait brisé son rythme habituel pour avancer sa mise à jour montre l’urgence de la situation. Les actualités autour de la sécurité de Java créent actuellement un déficit lourd en termes d’image. D’un strict point de vue utilisateur cependant, la question de l’image n’intervient pas. Nous rappellerons donc que si vous n’avez pas besoin de Java, autant le désinstaller. Il ne s’agit d’ailleurs pas d’une règle spécifique au produit d’Oracle : quand un produit n’est pas utile, il n’a pas besoin de rester. Cela réduit la surface d’attaque ainsi que le nombre de composants à mettre à jour régulièrement.
Si vous utilisez Java pour des besoins spécifiques, comme c’est le cas pour les joueurs de Minecraft, sachez que le panneau de gestion permet de le désactiver uniquement dans les navigateurs, ce qui représente ici le vrai problème. Pour cela, rendez-vous dans panneau de configuration et appuyez sur « j » dans le champ de recherche pour faire apparaître Java. Une fois dans la fenêtre ouverte, allez dans l’onglet Sécurité puis désactiverz la case « Activer le contenu Java dans le navigateur ». Ainsi, le butineur ne pourra plus exécuter aucun contenu Java, mais l’environnement restera actif pour les applications qui en ont besoin.
Enfin, en illustration d'une actualité précédente, on ne pourra s'empêcher de remarquer que cette mise à jour 13 s'installe en proposant, encore une fois, d'installer la barre Ask. Il serait temps qu'Oracle fasse l'effort d'intégrer un paramètre pour sauvegarder, une fois pour toutes, le choix initial de l'utilisateur.
Commentaires (26)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/02/2013 à 15h50
J’crois que je vais rester en Java 6 un petit bout de temps moi….au moins en attendant la 8, que la 7 soit terminée :-)
Le 04/02/2013 à 15h53
Tant mieux pour la correction, cela me permet d’utiliser plus sereinement le site navigo.fr pour recharger son pass
Le 04/02/2013 à 16h01
Merci Oracle de décridibliser un peu plus les développeurs Java… et Android…
Oui parce que au final moi j’entend régulièrement ( en étant dev android ) : java c’est de la merde…
Alors doit déjà se taper les dev iOS et Windows Phone, mais si en plus dans notre propre camp ca trolle, on est pas sorti de l’auberge…
Le 04/02/2013 à 16h10
Le 04/02/2013 à 16h17
Le 04/02/2013 à 16h20
Le 04/02/2013 à 16h24
Le 04/02/2013 à 16h28
Le 04/02/2013 à 16h29
Le 04/02/2013 à 16h34
Le 04/02/2013 à 16h35
Enfin, en illustration d’une actualité précédente, on ne pourra s’empêcher de remarquer que cette mise à jour 13 s’installe en proposant, encore une fois, d’installer la barre Ask. Il serait temps qu’Oracle fasse l’effort d’intégrer un paramètre pour sauvegarder, une fois pour toutes, le choix initial de l’utilisateur.
Bizarre moi il ne m’a rien proposé du tout et rien n’a été installé
J’ai récupéré l’exe sur le site directement
Le 04/02/2013 à 16h37
Le 04/02/2013 à 16h42
Le 04/02/2013 à 17h31
Le 04/02/2013 à 19h04
Le 04/02/2013 à 19h33
Pour info la barre Ask n’est proposée que pour l’installeur téléchargé depuishttp://www.java.com/ . L’installeur obtenu depuishttp://java.sun.com/ (redirigé vershttp://www.oracle.com/technetwork/java/index.html ) n’a pas cette “feature”.
Le 04/02/2013 à 20h41
Le 05/02/2013 à 04h10
Le 05/02/2013 à 07h33
J’ai téléchargé le fichier d’installation complet en 64 bits sur java.com et je n’ai pas eu la barre Ask lors de l’installation.
Le 05/02/2013 à 07h36
Juste le fait que la barre Ask soit proposée est déjà en soit rédhibitoire.
S’il existe un lien pour installer une mise à jour sans Ask c’est une avancée.
Le mieux, en plus de corriger les failles ,serait de supprimer la barre Ask.
Bonne journée.
Le 05/02/2013 à 07h53
Le 05/02/2013 à 07h56
Le 05/02/2013 à 08h38
Le 05/02/2013 à 09h24
Le 05/02/2013 à 10h50
Ça devient lourd de faire les mises à jour -_-
Le 05/02/2013 à 14h01
la faille de san andréas est une rigolade à coté de celle de java……
" />