L’environnement Java subit depuis quelques mois de nombreuses failles qui lui donnent particulièrement mauvaise presse. Alors que les semaines passent et que de nouvelles brèches n’en finissent plus d’être découvertes, Oracle a décidé d’avancer de deux semaines la publication d’une importante mise à jour.
C’est donc avec deux semaines d’avance qu’Oracle diffuse la mise à jour 13 pour Java 7. Initialement programmée pour le 19 février, elle est littéralement sortie des rails du cycle mensuel habituel. La raison est simple : les failles de sécurité s’accumulent, pour la plupart critiques, et aucun correctif n’est présent alors que leurs exploitations ont déjà été signalées.
La mise à jour proposée, que l’on peut récupérer sur le site de Java ou depuis le panneau de gestion dans le système d’exploitation, est donc critique. Elle corrige pas moins de 50 failles, mais toutes ne concernent pas directement l’environnement d’exécution Java proprement dit. Il s’agit d’un package comprenant notamment des correctifs pour 11 failles de JavaFX. En outre, cette grande mise à jour ne touche pas nécessairement qu'à la version 7 du JRE.
Oracle indique sur son site que sur les 50 failles corrigées, 49 peuvent l’être de manière distante. Cela se fera sur une page spécialement conçue pour l’occasion et via un applet Java ou une application Java Web Start. L'éditeur précise cependant que l’impact des failles peut être amoindri si l’utilisateur dispose de droits limités, et n’est donc pas administrateur de sa machine.
Signalons également que depuis la mise à jour 11, l’exécution des contenus Java se fait en sécurité « haute » et que chaque exécution d’une application ou d’un applet demande à l’utilisateur une confirmation.
Le fait qu’Oracle ait brisé son rythme habituel pour avancer sa mise à jour montre l’urgence de la situation. Les actualités autour de la sécurité de Java créent actuellement un déficit lourd en termes d’image. D’un strict point de vue utilisateur cependant, la question de l’image n’intervient pas. Nous rappellerons donc que si vous n’avez pas besoin de Java, autant le désinstaller. Il ne s’agit d’ailleurs pas d’une règle spécifique au produit d’Oracle : quand un produit n’est pas utile, il n’a pas besoin de rester. Cela réduit la surface d’attaque ainsi que le nombre de composants à mettre à jour régulièrement.
Si vous utilisez Java pour des besoins spécifiques, comme c’est le cas pour les joueurs de Minecraft, sachez que le panneau de gestion permet de le désactiver uniquement dans les navigateurs, ce qui représente ici le vrai problème. Pour cela, rendez-vous dans panneau de configuration et appuyez sur « j » dans le champ de recherche pour faire apparaître Java. Une fois dans la fenêtre ouverte, allez dans l’onglet Sécurité puis désactiverz la case « Activer le contenu Java dans le navigateur ». Ainsi, le butineur ne pourra plus exécuter aucun contenu Java, mais l’environnement restera actif pour les applications qui en ont besoin.
Enfin, en illustration d'une actualité précédente, on ne pourra s'empêcher de remarquer que cette mise à jour 13 s'installe en proposant, encore une fois, d'installer la barre Ask. Il serait temps qu'Oracle fasse l'effort d'intégrer un paramètre pour sauvegarder, une fois pour toutes, le choix initial de l'utilisateur.
Commentaires (26)
J’crois que je vais rester en Java 6 un petit bout de temps moi….au moins en attendant la 8, que la 7 soit terminée :-)
Tant mieux pour la correction, cela me permet d’utiliser plus sereinement le site navigo.fr pour recharger son pass
Merci Oracle de décridibliser un peu plus les développeurs Java… et Android…
Oui parce que au final moi j’entend régulièrement ( en étant dev android ) : java c’est de la merde…
Alors doit déjà se taper les dev iOS et Windows Phone, mais si en plus dans notre propre camp ca trolle, on est pas sorti de l’auberge…
Enfin, en illustration d’une actualité précédente, on ne pourra s’empêcher de remarquer que cette mise à jour 13 s’installe en proposant, encore une fois, d’installer la barre Ask. Il serait temps qu’Oracle fasse l’effort d’intégrer un paramètre pour sauvegarder, une fois pour toutes, le choix initial de l’utilisateur.
Bizarre moi il ne m’a rien proposé du tout et rien n’a été installé
J’ai récupéré l’exe sur le site directement
Pour info la barre Ask n’est proposée que pour l’installeur téléchargé depuishttp://www.java.com/ . L’installeur obtenu depuishttp://java.sun.com/ (redirigé vershttp://www.oracle.com/technetwork/java/index.html ) n’a pas cette “feature”.
J’ai téléchargé le fichier d’installation complet en 64 bits sur java.com et je n’ai pas eu la barre Ask lors de l’installation.
Juste le fait que la barre Ask soit proposée est déjà en soit rédhibitoire.
S’il existe un lien pour installer une mise à jour sans Ask c’est une avancée.
Le mieux, en plus de corriger les failles ,serait de supprimer la barre Ask.
Bonne journée.
Ça devient lourd de faire les mises à jour -_-
la faille de san andréas est une rigolade à coté de celle de java……
" />