Oracle fait une rare exception à son cycle habituel de publication de correctifs de sécurité afin de combler une vulnérabilité - et surtout alerter à son sujet - pouvant être exploitée lors de l'installation de Java 6, 7 ou 8 sur la plateforme Windows. Il s'agit donc d'une publication en urgence.
Pour autant, le score CVSS (Common Vulnerability Scoring System) de ladite faille CVE-2016-0603 n'est pas à son maximum de 10.0. Il est de 7.6 eu égard au fait que l'exploitation de la vulnérabilité est complexe.
Un attaquant doit inciter un utilisateur à consulter un site Web compromis et télécharger des fichiers avant l'installation de Java 6, 7 ou 8. Autrement dit, la vulnérabilité existe uniquement pendant la procédure d'installation. Le cas échéant, l'attaquant peut prendre le contrôle complet d'un système.
Oracle indique que les utilisateurs n'ont pas besoin de mettre à niveau leurs installations de Java existantes pour corriger la vulnérabilité. Cependant, il est demandé aux utilisateurs ayant téléchargé d'anciennes versions, soit des installeurs pour des versions antérieures à 6u113, 7u97 ou 8u73, de les supprimer et opter pour de nouveaux installeurs sur Java.com.
Normalement, Oracle procède à des mises à jour trimestrielles dans le cadre du programme Critical Patch Update. Le mois dernier, ce sont 248 patchs qui ont été livrés pour plus d'une cinquantaine de produits d'Oracle dont Java SE. Le prochain rendez-vous est fixé au 19 avril prochain… sauf urgence.
Rappelons que le plugin Java pour navigateur Web sera obsolète après la sortie de Java 9 en septembre.
