Oracle vient de sortir en urgence un patch afin de corriger une faille présente sur son plug-in Java SE fonctionnant sur les navigateurs. Selon les explications de la firme, « cette vulnérabilité peut être exploitée à distance sans authentification », notamment sur un réseau sans avoir besoin d’utiliser des identifiants tels que le nom d’utilisateur ou le mot de passe de l’utilisateur.Pour que cette faille soit exploitée avec succès, ajoute l’éditeur, « un utilisateur non averti exécutant une version [de Java SE] dans un navigateur devra visiter une page web infectée qui exploite cette vulnérabilité ». Et si un tel cas de figure se produisait, cette personne exposerait « la disponibilité, l’intégrité et la confidentialité de son système ».
Les versions du plug-in affectées par cette faille sont Java SE 7 Update 97, Java SE 8 Update 73 et Java SE Update 74 pour les systèmes d’exploitation Windows, Solaris, Linux, et Mac OS X.
La faille a été référencée sous le code CVE-2016-0636 et vu sa sévérité, il lui a été assigné le score de 9.3 selon le système d’évaluation des vulnérabilités CVSS (Common Vulnerability Scoring System).
Toutefois, cette faille ne s’adresse pas aux déploiements de Java sur les serveurs ou les applications autonomes pour poste de travail, car ces derniers chargent et exécutent du code de confiance uniquement. Non plus elle n’affecte pas les logiciels basés sur les serveurs d’Oracle.
Oracle recommande d’appliquer urgemment le correctif disponible depuis quelques heures. Par ailleurs, même si un patch est disponible, cet épisode ne ferait que renforcer davantage la réputation de plug-in poreux soutenu par plusieurs. À ce sujet, il est sans doute inutile de rappeler des études conduites dans le domaine de la sécurité et qui placent Java en tête de liste parmi les programmes les plus exposés. Le plug-in Flash étant de moins en moins utilisé, il parait évident que les tiers malveillants n'hésiteront pas à se tourner vers ce dernier.
Aussi, même s’il faut s’attendre à des failles sur le plug-in Java, car la sécurité à cent pour cent n’existant pas, nous osons espérer que la réaction d’Oracle sera toujours prompte afin d’apporter des correctifs pour colmater les brèches détectées sur sa plateforme.
Source : Oracle
Et vous ?
Que pensez-vous de cette faille ? De quoi remettre en cause l’utilisation du plug-in Java ?Voir aussi
Forum Oracle 
Envoyé par Pierre Louis Chevalier
