Java a encore des problèmes de sécurité. Mais, depuis Firefox 17, Mozilla dispose d’une arme pour protéger à distance ses utilisateurs des plugins vulnérables. Voici un billet du blog sécurité de Mozilla qui donne plus de détails :


Mise à jour – 18 janvier 2013

Mozilla étend le Click To Play à Java 7u11 en raison de rapports de code d’exploit disponibles pour 7u11 et de l’information selon laquelle tous les éléments du bogue original de Java n’ont pas été pleinement pris en compte par Oracle dans le correctif 7u11.

Mise à jour – 13 janvier 2013

Oracle a publié une mise à jour pour traiter cette vulnérabilité. Lisez-en plus ici et téléchargez les mises à jour ici.

Problème

Mozilla est au courant d’une vulnérabilité de sécurité dans la version actuelle de Java (Java 7 Update 10) qui est exploitée activement et affecte n’importe quel navigateur utilisant le plugin Java. Les utilisateurs de Firefox peuvent être vulnérables à ce problème s’ils ont le plugin Java installé dans leur navigateur. Des informations sur la façon de vérifier quels plugins sont installés peuvent être trouvées ici.

Impact

Un attaquant pourrait exploiter cette vulnérabilité pour exécuter un logiciel malveillant sur l’ordinateur de la victime. Cette vulnérabilité est activement utilisée dans des attaques et le code de l’exploit malveillant est également disponible dans les kits d’exploits communs.

État

Il n’existe pas de correctif actuellement disponible pour ce problème en provenance d’Oracle. Pour protéger les utilisateurs de Firefox, nous avons activé Click To Play pour les versions récentes de Java sur toutes les plateformes (Java 7u9, 7u10, 6u37, 6u38). Les utilisateurs de Firefox avec d’anciennes versions de Java sont déjà protégés par le blocage des plugins existant de ou les défenses Click To Play.

La fonctionnalité Click To Play garantit que le plugin Java ne sera pas chargé sauf si un utilisateur clique spécifiquement pour activer le plugin. Cela protège les utilisateurs contre l’exploitation de type drive-by, une des techniques d’exploits les plus couramment utilisés pour compromettre les usagers vulnérables. Click To Play permet également aux utilisateurs d’activer le plugin Java sur une base de site par site s’ils ont absolument besoin du plugin Java pour le site.

Click to Play dans Firefox

Crédit Mozilla

Capture de démo de Click To Play

Informations supplémentaires

Nous encourageons les utilisateurs à toujours garder leurs plugins à jour. Visitez le site Web de vérification des plugins pour mettre à jour les plugins dès maintenant.

Des informations pour désactiver complètement le plugin Java peuvent être trouvées sur la page suivante : Comment désactiver les applets Java.

Michael Coates
Directeur de l’assurance sécurité

Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.

License Creative Commons

Sources et références