Mozilla a blacklisté les plug-ins Java non mis à jour de Firefox pour Windows pour protéger les utilisateurs du navigateur contre les attaques qui exploitent les vulnérabilités connues de ces versions. C'est ainsi que Mozilla va ajouter les noms d'extensions ou de plug-ins à la liste noire des extensions de Firefox dans le cas où l'éditeur estime qu'ils mettent en danger la sécurité des utilisateurs ou posent des problèmes de performance. Lors de l'installation, Firefox, qui vérifie automatiquement cette liste noire, prévient les utilisateurs avant de désactiver les add-ons incriminés. « La mise à jour du mois de février 2012 du kit de développement Java (JDK) et du Java Runtime Environment (JRE) comportait un patch destiné à corriger une vulnérabilité critique qui pouvait permettre le chargement de code arbitraire sur l'ordinateur de l'utilisateur final», a déclaré Kev Needham, Mozilla channel manager, dans un blog. « Cette vulnérabilité - présente dans les versions plus anciennes du JDK et du JRE - est activement exploitée, et représente un risque potentiel pour les utilisateurs », a ajouté le channel manager. « Pour atténuer ce risque, nous avons ajouté ces versions du plug-in Java pour Windows (Version 6 Update 30 et précédents, ainsi que la version 7 Update 2 et précédentes) à la liste noire de Firefox. »

Des malwares pourraient exploiter cette faille Java

Kev Needham n'a pas précisé si cette vulnérabilité était activement exploitée, mais pendant les deux dernières semaines, les entreprises de sécurité ont prévenu que des malwares exploitant la vulnérabilité CVE-2010-0507 de Java avaient été utilisés dans des attaques massives et avaient été incorporés dans la boîte à outils d'attaques très populaire Blackhole.

 Contrairement au navigateur Chrome de Google, qui dispose d'une fonction spécifique pour désactiver les plug-ins obsolètes, Firefox fait confiance aux développeurs de Mozilla pour déterminer quels plug-ins sont susceptibles de représenter un risque pour les utilisateurs. Cependant, ceux-ci ont toujours le choix d'empêcher la désactivation de ces plug-ins.

Blocage plus délicat pour Mac OS X

La liste noire de Firefox a rarement été utilisée pour désactiver les plug-ins de grands éditeurs de logiciels comme Oracle, mais des précédents existent. Par exemple, en octobre 2009, Mozilla a décidé d'ajouter le plug-in Windows Presentation Foundation (WPF) à la liste de blocage de Firefox quand Microsoft a révélé qu'il comportait une vulnérabilité. « Mozilla encourage fortement tous ceux qui ont besoin du JDK et du JRE à les mettre à jour vers la version actuelle dès que possible sur toutes les plateformes, » a déclaré Kev Needham. Les dernières versions de Java pour Windows sont : Java 6 Update 31 et Java 7 Update 3.

Mozilla envisage également d'ajouter à la liste noire de Firefox le plug-in Java pour Mac OS X. Cependant, le blocage de Java sur Mac OS X pourrait être plus compliqué que sur Windows, parce que Apple a généralement plusieurs mois de retard sur Oracle pour délivrer les correctifs pour Java. En début de semaine,  les chercheurs en sécurité de F-Secure ont annoncé que de nouvelles attaques basées sur le web exploitaient une vulnérabilité dans la dernière version de Java pour Mac OS pour installer des programmes malveillants. Pour empêcher que ces attaques affectent les utilisateurs de Firefox, il faudrait que Mozilla blackliste la dernière version du plug-in Java pour Mac. Mais dans ce cas, les utilisateurs sous OS X ne pourraient plus faire tourner les applications Java dans le navigateur de Mozilla.