Oracle diffuse depuis ce week-end une mise à jour de son logiciel Java, en réponse à la découverte d'une brèche la semaine dernière. Toutefois, un spécialiste en sécurité informatique assure que le patch est imparfait et que des attaques peuvent encore être perpétrées par ce biais.

La réaction d'Oracle était attendue. Elle n'a pas traîné. L'entreprise américaine a publié ce week-end un correctif destiné à corriger la brèche découverte la semaine dernière dans Java. Deux branches du logiciel sont concernées, et l'usager doit réagir en conséquence en installant Oracle Java 1.6.38 ou 1.7.11, selon la version installée.

La première faille "concerne la méthode 'findClass' de la classe MBeanInstantiator" et qui affecte toutes les versions antérieures à Java version 1.6.38,  tandis que la seconde implique "la nouvelle API Reflection" de Java, qui est disponible à partir de la version 1.7 du logiciel.

"L'association des deux vulnérabilités permet à un attaquant d'exécuter du code arbitraire à distance au moyen d'une page Web spécialement conçue sur les postes possédant une version de Oracle Java antérieure à 1.7.11", explique le Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (CERTA), dans son bulletin d'alerte mis à jour ce week-end.

Auparavant, le CERTA avait invité les utilisateurs à désactiver temporairement le logiciel pour éviter que ces derniers ne s'exposent.

Le danger n'a pas été seulement pris en considération par les autorités. Des initiatives ont été prises par la fondation Mozilla, puisque son navigateur web, Firefox, peut être enrichi par des modules complémentaires. Dont Java. Une mise en garde est donc affichée dans les dernières versions du logiciel (17 et plus) pour prévenir l'usager que certaines versions de Java posent un risque de sécurité.

"Quand Mozilla est mis au courant qu'un module, greffon ou tout autre logiciel tierce-partie peut remettre en cause la sécurité, stabilité ou les performances de Firefox et que certain critères sont réunis, le logiciel peut être bloqué pour l'usage général", explique Mozilla dans sa page d'aide. En l'espèce, l'avertissement concerne tous les usagers utilisant Firefox 17 ou supérieur et ayant une version de Java problématique.

Si Oracle a réagi vite, certains considèrent que l'éditeur est peut-être intervenu trop vite. C'est l'avis d'Adam Gowdiak, spécialiste en sécurité Java. Si le patch réduit le risque d'une intrusion ou d'un infection, l'entreprise américaine n'aurait pas fixé toutes les vulnérabilités ; dans certaines situations, la brèche serait encore exploitable, laisse-t-il entendre dans une interview accordée à Reuters.

"Nous n'osons pas dire aux utilisateurs que la réactivation de Java est sûre", a-t-il expliqué. Travaillant pour la société polonaise Security Explorations, Adam Gowdiak s'est illustré l'an dernier en mettant en exergue une faille critique du logiciel.

Partager sur les réseaux sociaux

Articles liés