Protéger les utilisateurs contre une vulnérabilité de sécurité dans Java

Mise à jour – 31 août 2012 :

Hier, Oracle a publié un correctif pour les vulnérabilités critiques identifiées dans Java.

Visitez la page Web de vérification des plugins de Mozilla pour savoir si votre plugin Java a besoin d’être mis à jour : https://www.mozilla.org/plugincheck/

Des informations supplémentaires de la part d’Oracle peuvent être trouvées ici : https://blogs.oracle.com/security/entry/security_alert_for_cve_20121


Mise à jour – 29 août 2012 :

Nous avons suivi de près la récente vulnérabilité de sécurité de Java et évalué les différentes options pour mieux protéger nos utilisateurs.

Notre objectif est de fournir une protection aux utilisateurs de Firefox contre cette vulnérabilité exploitée activement dans Java, tout en laissant à l’utilisateur le contrôle afin qu’il puisse choisir d’autoriser Java sur des sites importants auxquels il fait confiance.

Nous élaborons toujours les détails de mise en œuvre, mais notre solution permettra d’atteindre deux objectifs principaux :

  1. Par défaut, les versions vulnérables de Java seront désactivées pour nos utilisateurs de Firefox.
  2. Les utilisateurs auront la possibilité d’activer Java via un message clair et visible qui sera affiché chaque fois que l’utilisateur consulte une page utilisant Java.

Nous vous fournirons des mises à jour supplémentaires lorsque les items seront finalisés. Entre-temps, nous continuons de conseiller aux utilisateurs de désactiver le plugin Java tel que décrit ci-dessous.

Enfin, à partir de cette semaine dans Aurora et Beta nous allons commencer à ajouter les composants de click-to-play, un dispositif de sécurité de Firefox qui permet de protéger les utilisateurs contre les plugins périmés et vulnérables. Nous prévoyons que cette nouvelle fonctionnalité de sécurité sera pleinement opérationnelle d’ici Firefox 18.



Billet original du 28 août 2012 :

Problème

Mozilla est au courant d’une vulnérabilité de sécurité (CVE-2012-4681) dans la version actuelle de Java 7 (version 1.7, mises à jour de 0 à 6) qui est activement exploitée pour les utilisateurs compromis. Les utilisateurs de Firefox peuvent être vulnérables à ce problème s’ils exécutent le plugin Java dans leur navigateur.

Impact sur les utilisateurs

Un attaquant pourrait exploiter cette vulnérabilité pour télécharger et exécuter des programmes malveillants (malware) sur l’ordinateur d’un utilisateur.

Nous avons reçu des rapports selon lesquels cette vulnérabilité est activement utilisée dans des attaques ciblées et le code malveillant d’exploit est également disponible dans les kits d’exploits communs indiquant que le nombre d’attaques peut augmenter.

État

Actuellement, il n’y a pas de correctif disponible de la part d’Oracle pour remédier à la vulnérabilité dans Java. Nous recommandons aux utilisateurs de désactiver le plugin Java dans Firefox afin de s’assurer qu’ils sont protégés contre cette vulnérabilité.

Les étapes pour désactiver le plugin Java peuvent être trouvées ici : http://support.mozilla.org/fr/kb/Comment désactiver les applets Java.

Sources et références