Oracle a livré hier des correctifs d'urgence pour Java. Après les mises à jour récemment fournies, il restait encore deux failles critiques à rectifier, l'une d'elles étant activement exploitée depuis plusieurs jours par des hackers dans le cadre d'attaques ciblées. Identifiée sous la référence CVE-2013-1493 et CVE-2013-0809, elles affectent Java dans son utilisation sur les navigateurs web et se trouvent dans son composant 2D.

Ces vulnérabilités peuvent être exploitées à distance sans authentification, a rappelé le fournisseur. Les utilisateurs peuvent y être exposés sans le soupçonner en visitant, avec un navigateur touché par l'une de ces failles, une page web corrompue qui les mettra en oeuvre. Si l'attaque réussit, elle risque d'affecter la confidentialité, l'intégrité et la disponibilité de leur système.

Les versions 7u17 et 6u43 sont concernées

Les mises à jour concernent Java versions 7 Update 17 (7u17) et 6 Update 43 (6u43) et pas 7u16 et 6u42 sans que l'on sache exactement pourquoi. Oracle rappelle que Java 6u43 sera la dernière mise à jour pour Java 6 et conseille aux utilisateurs d'évoluer vers Java 7. Les mises à jour de Java 6 auraient déjà dû s'arrêter avec la 6u41, livrée le 19 février, mais le fournisseur aura finalement dû faire une exception en fournissant ce patch.

La faille CVE-2013-1493 est exploitée depuis jeudi dernier. Des chercheurs de FireEye, spécialisés dans la sécurité ont découvert des attaques qui l'utilisaient pour installer à distance un malware dénommé McRAT. Il semble toutefois qu'Oracle ait eu connaissance de l'existence de cette faille depuis début février. Il avait prévu de la corriger dans le Java Critical Patch Update du 16 avril, mais a décidé de livrer un correctif plus rapidement lorsque la faille a commencé à être exploitée.

Désactiver l'exécution automatique des applets

Les deux vulnérabilités ainsi corrigées n'affectent pas Java sur les serveurs, ni sur les applications indépendantes utilisant Java sur le poste de travail. Elles ne concernent pas non plus les applications Java embarquées, explique Eric Maurice, directeur de la software assurance chez Oracle. Il est conseillé aux utilisateurs d'installer les patchs aussi rapidement que possible. Ils peuvent désactiver le support des contenus Java sur le web, à partir de l'écran de contrôle de Java, s'ils n'ont pas besoin de ce dernier pendant leur navigation sur Internet.

Les paramètres de sécurité pour ces contenus sont placés au plus haut par défaut, ce qui signifie qu'une autorisation est demandée aux utilisateurs pour exécuter les applets Java non signées ou auto-signées au sein des navigateurs. Cette disposition est destinée à éviter l'exploitation automatique des failles Java sur le web, mais elle ne fonctionne que si les utilisateurs sont capables de prendre des décisions en toute connaissance de cause sur les applets qu'ils peuvent autoriser et celles qu'ils doivent refuser. « Pour se protéger, les utilisateurs de desktops devraient exécuter uniquement les applets qu'ils s'attendent à trouver et dont ils connaissent la fiabilité de l'origine ».