Oracle continue à boucher des trous dans Java

Afin de tenter d’endiguer les multiples attaques visant l’exécution d’applets java dans les navigateurs Web,  oracle vient de publier une nouvelle version de la technologie (Java 7 update 21) qui vient corriger 42 vulnérabilités, dont une très large majorité jugées critiques par la société. La mise à jour vient notamment combler les failles découvertes lors du dernier challenge PWN2OWN qui s’est tenu lors de la conférence sur la sécurité CanSecWest de Vancouver en March, et dans laquelle des failles Java ont été exploitée par trois “chercheurs en sécurité” différents. Ce correctif arrive alors qu’Oracle est sous pression. Le plug-in Java est devenu la technologie la plus attaquée dans le monde, devant le plug-in Acrobat reader d’Adobe (on estime que 50% des attaques en 2012 ont utilisé des failles dans Java contre 28% pour Acrobat Reader). Le département de la sécurité intérieure américain a ainsi recommandé aux utilisateurs de désactiver par défaut Java dans leurs navigateurs web. Apple a, de son coté, proposé une alternative intelligente qui permet aux utilisateurs de son navigateur Safari (en version 6.04) de n’activer Java que sélectivement pour un nombre restreint de sites, ce qui permet par exemple d’avoir Java activé pour les applications internes et inactif pour les sites internet. L’une des nouveautés introduites par la mise à jour d’Oracle est que seule les applications Java signées pourront forcer des applets Java à fonctionner dans le navigateur (les utilisateurs pourront toutefois choisir de passer outre ce réglage par défaut).