Oracle diffuse une mise à jour Java 7 Update 11 afin de combler une vulnérabilité critique activement exploitée, ainsi qu'une autre faille considérée tout aussi sévère.
Pour la France, le CERTA fournit des explications et indique que les versions affectées sont les versions antérieures à Oracle Java 7 Update 11 et Oracle Java 6 Update 38. Il est possible de connaître la version installée en se rendant sur cette page.
Le CERTA recommande ainsi d'installer Oracle Java version 1.7.11, voire Oracle Java version 1.6.38. Mais son homologue américain n'est pas tout à fait du même avis.
Pour l'US-CERT, en dépit de la correction apportée par Oracle, la recommandation demeure de désactiver Java même après la mise à jour Java 7 Update 11. " À moins d'une absolue nécessité d'exécuter Java dans les navigateurs Web, désactivez-le. […] Cela contribuera à atténuer d'autres vulnérabilités Java qui peuvent être découvertes à l'avenir. "
D'après Kaspersky Lab, Java a été impliqué dans 50 % de toutes les cyberattaques l'année dernière via l'exploitation de bugs logiciels. Adobe Reader se place en seconde position ( 28 % ).
Cité par Reuters, HD Moore, chercheur en sécurité de Rapid7 et créateur du Metasploit, déclare que cela " prendrait deux ans à Oracle pour corriger tous les bugs de sécurité qui ont été identifiés dans la version de Java utilisée pour naviguer sur le Web. "
Rappelons par ailleurs que Java et JavaScript sont deux choses différentes.
