Oracle a publié en fin de semaine dernière une nouvelle mise à jour de Java, qu'il conseille d'appliquer immédiatement pour se protéger d'une faille critique encore découverte et exploitée dans Java Runtine Environment (JRE).

Oracle n'en finit plus de corriger les failles critiques de sa plateforme Java, plus discréditée que jamais. L'entreprise américaine a publié vendredi dernier une nouvelle mise à jour de Java SE, Java 7 Update 13 (1.7.0_13-b20), en expliquant qu'elle devait sortir le 19 février, mais qu'elle a préféré avancer sa date de sortie parce qu'une des failles corrigées était déjà d'ores et déjà exploitée par des attaques. Cette faille particulièrement critique touche le Java Runtine Environment (JRE) lancé au sein des navigateurs web.

La semaine dernière, pour réagir à cette faille, Apple avait décidé de bloquer le plug-in Java JRE dans OS X. 

"En raison de la menace posée par une attaque réussie, Oracle recommande fortement que les clients appliquent les correctifs de la Mise à Jour Critique dès que possible", insiste l'éditeur, qui précise que "cette mise à jour critique contient 50 nouveaux correctifs de sécurité à travers les produits Java SE".

Plus que jamais critiqué pour ses nombreuses failles de sécurité, l'environnement Java sur navigateurs est désormais déconseillé par les plus hautes autorités. Au début du mois, le Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (CERTA), rattaché à la très officielle Agence nationale de la sécurité des systèmes d'information (ANSSI), avait publié un bulletin d'alerte pour recommander de désactiver Java dans les navigateurs web. 

Oracle avait déjà dû publier des mises à jour de sécurité suites à des failles critiques au mois d'août 2012, et le mois dernier.

Selon l'entreprise de sécurité Secunia,  la faille corrigée était d'un niveau "extrêmement critique", soit le plus haut degré dans son échelle. La société explique que la vulnérabilité permettait des manipulations de données, expositions d'informations sensibles, élévations de privilèges (accès à des droits en principes réservés), des attaques DoS, et des accès au système, le tout réalisé à distance.

Les prochaines mises à jour de Java SE sont prévues le 18 juin 2013, le 15 octobre 2013 et le 14 janvier 2014. A condition qu'Oracle ne soit pas encore une fois contraint d'avancer sa feuille de route…


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !