19 corrections de vulnérabilités et la désactivation par défaut de SSL 3.0, tel est le contenu des mises à jour qu’Oracle a mis à disponibilité de la communauté pour Java.
Malgré des statistiques positives soulignées par le rapport de sécurité de Cisco démontrant la baisse constante et régulière des attaques exploitant les vulnérabilités de Java, les utilisateurs du Web restent néanmoins exposés à des exploits. Pour remédier à cela Oracle publie donc une série de corrections pour le langage Java afin de protéger au mieux les sites.
Parmi les 19 vulnérabilités corrigées dans Java, quatre sont considérés comme particulièrement critiques notées 10 dans le système de score de vulnérabilité commune (CVSS), note maximale. Une majorité des failles observées permet à des applets Java malveillantes ou des applications Java Web Start d’être exécutés à partir de pages Web.
John Matthew Holt, CTO de Waratek, la firme de sécurité d'applications Java, indique que les corrections concernent les vulnérabilités qui «vont de la lecture et l'écriture de données locales à la prise de contrôle totale du système d'exploitation, y compris l'exécution de code arbitraire».
Suite à la découverte en octobre dernier de la faille de sécurité permettant par des attaques de l'homme du milieu, de déchiffrer des informations sensibles comme les cookies d'authentification à partir d'une connexion chiffrée avec SSL 3.0, Oracle a décidé la désactivation du protocole SSL 3.0 par défaut.
Les mises à jour de Java 5 et 6 ne sont disponibles que pour les clients d'Oracle bénéficiant des contrats de support à long terme. Dans la même philosophie, Oracle annonce que cette mise à jour sera la dernière version publique pour Java 7. Seuls les utilisateurs avec contrat de maintenance bénéficieront des prochaines mises à jour. Les autres utilisateurs seront invités à une migration vers la version Java 8.
Source : blogs.oracle.com