Java : la sécurité est la top priorité d'Oracle

Le par  |  5 commentaire(s)
java-logo

La sécurité de Java est la priorité absolue d'Oracle qui va prendre une série de mesures pour la renforcer.

À partir d'octobre 2013, les corrections de sécurité pour Java bénéficieront du même traitement que les autres produits Oracle avec quatre publications dans l'année. Sans aller jusqu'à un rythme mensuel, Oracle va donc instaurer un rendez-vous régulier et trimestriel dans la lignée de son Critical Patch Update.

Java-logoPour autant, l'éditeur procédera le cas échéant à une mise à jour en urgence (ou hors cycle). Cela se produit déjà si une vulnérabilité critique dite 0-day (et donc sans patch) fait l'objet d'une exploitation active.

Cette mesure n'est pas la seule d'Oracle qui tente de rassurer après la forte médiatisation d'exploits et attaques, en particulier via le plugin pour navigateur. Une médiatisation qui a fait naître un climat de méfiance jusque dans les entreprises.

Des fonctionnalités de politique de sécurité locale seront ajoutées à Java et les administrateurs systèmes auront plus de possibilités lors de l'installation de Java et du déploiement dans l'entreprise. Par exemple, la restriction de l'exécution d'applets à celles spécifiques d'hôtes.

Dans un environnement serveur, Oracle indique que des " mesures renforcées seront explorées afin de réduire la surface d'attaque ". Parmi celles-ci, la suppression de certaines bibliothèques logicielles qui ne s'avèrent pas nécessaires en milieu serveur.

Chercheur en sécurité chez Rapid7 et créateur de Metasploit, HD Moore a surtout retenu qu'Oracle va changer son modèle de sorte que " signer une applet ne lui donnera plus de privilèges d'échappement de la sandbox. "

Il a cependant confié à CSO Online qu'il souhaite des améliorations en relation avec la sandbox Java et l'adoption d'une technologie plus sécurisée comme celle utilisée dans Google Chrome et Adobe Reader.

" Une applet malveillante avec une signature valide peut toujours abuser de failles de sécurité dans JRE ( Java Runtime Environment ) pour s'échapper de la sandbox et compromettre le système ", a déclaré l'expert en sécurité.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1347582
java?
je crois que j'ai tout desinstallé sur mon pc.
bah oais, ces derniers mois il y a eu énormement de faille critique et il fallait desactiver le plugin sous firefox, donc autant tout supprimer!

RIP java
Le #1347712
Ce fut aussi mon cas. Je l'ai désinstallé, ainsi plus de mises à jours à faire....
Trop de failles, trop d'updates, mises à jour trop lourdes et trop longues... j'ai finis par en avoir marre.
Le #1347792
"Java : la sécurité est la top priorité d'Oracle" : heureusement qu'ils le disent sinon je ne l'aurais pas cru , a vrai dire j'ai encore du mal
Le #1347832
Sauf que pour certaine applications web le java est obligatoire.... le désactiver n'est pas une solution pour les utilisateurs normaux
Le #1347892
KAISER59 a écrit :

Sauf que pour certaine applications web le java est obligatoire.... le désactiver n'est pas une solution pour les utilisateurs normaux


Pour les pros souvent oui. Je ne me rappelle même plus la dernière fois que j'ai dû utiliser une applet java dans un cadre hors-professionnel ...
Le #1347992
Pour moi aussi désinstallé.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]