La dernière mise à jour de Java, livrée mardi par Oracle, corrige 40 problèmes de sécurité. C'est aussi la première version capable de gérer la révocation des certificats en temps réel. Sur les quarante vulnérabilités corrigées par Java 7 Update 25 (Java 7u25), trente-quatre concernent les déploiements clients de Java, quatre concernent à la fois les déploiements clients et serveurs, une affecte l'installateur Java et une l'outil Javadoc utilisé pour créer des fichiers de documentation au format HTML. La plupart des vulnérabilités affectant le client Java affichent le coefficient de gravité le plus élevé sur l'échelle d'Oracle. Ces failles peuvent être exploitées par des attaquants pour prendre le contrôle des ordinateurs et sont susceptibles de permettre l'installation, dans les navigateurs, d'applets Java malveillants hébergés sur des serveurs distants.

Cette année, le nombre élevé d'attaques menées à partir du Web, et ciblant les vulnérabilités dans le plug-in Java du navigateur, a suscité de sérieuses interrogations sur la fiabilité de la plate-forme autant de la part des utilisateurs privés que des d'entreprises, qui ont fréquemment recours à Java sur leurs serveurs. Afin de différencier clairement les risques de sécurité affectant le client Java et ceux affectant les déploiements serveurs de Java, Oracle livre depuis avril dernier un pack JRE (Java Runtime Environment) serveur sans le plug-in Java.

Vérification et révocation des certificats

La faille dans Javadoc pourrait affecter les utilisateurs qui visitent des pages HTML hébergées sur des serveurs Web qui ont été générées avec l'outil. « Certaines pages HTML créées avec les versions 1.5 ou ultérieures de Javadoc sont vulnérables à l'injection de frame », a expliqué dans un blog Éric Maurice, le directeur Software Assurance d'Oracle. « Si elle est exploitée, cette vulnérabilité peut permettre à un attaquant d'injecter des frames dans une page web vulnérable et de diriger les utilisateurs peu méfiants vers des pages malveillantes ». Java 7u25 inclut une version modifiée de l'outil Javadoc qui ne génère plus de pages Web vulnérables. Oracle a également livré un outil distinct appelé Java API Documentation Updater Tool, qui peut être utilisé pour réparer des pages précédemment générées et potentiellement vulnérables.

Cette mise à jour apporte également d'autres modifications en matière sécurité, notamment une fonctionnalité de vérification et de révocation des certificats par défaut. Plus tôt cette année, afin de lutter contre les exploits visant Java, Oracle a modifié le comportement par défaut de Java afin d'empêcher l'exécution d'applets non signés sans interaction de l'utilisateur. L'objectif est de pousser les développeurs à signer numériquement leurs applications Web Java avec des certificats valides. Cependant, pour que ce mécanisme de défense fonctionne correctement, Java doit être en mesure de vérifier en temps réel si les certificats utilisés pour signer les applets ont été révoqués ou non par leurs autorités de certification émettrices (CA). À défaut, un attaquant peut toujours signer un applet malicieux avec un certificat volé et Java n'aurait aucun moyen de le détecter, même si l'autorité de certification révoquait le certificat abusif par la suite.