Apple a publié une mise à jour de sécurité pour l'implémentation de Java à son Mac OS X et Mozilla a mis sur liste noire toutes les versions de Java qui ne sont plus à jour et qui contiennent des failles de sécurité (au moins pour Windows). Pour Apple, cette mise à jour implémente la version la plus récente de Java SE 6, à savoir la version 1.60_31 d'Oracle.
Comme je l'avais dit dans un précédent article, un certain nombres de failles dans la version précédente de Java pour Mac OS X basée sur la 1.6.0_29 ont été exploitées par une nouvelle version du trojan Flashback et vu qu'aucune mise à jour du côté de Apple n'était disponible, les utilisateurs pouvaient seulement désactiver Java pour se protéger. Cette mise à jour est disponible pour les versions de Mac OS X 10.7 (Lion) et 10.6.8 (Leopard) ainsi que les versions serveur. Des détails supplémentaires par rapport à cette mise à jour sont disponibles sur la page About the security content of Java for OS X Lion 2012-001 and Java for Mac OS X 10.6 Update 7.
Les vulnérabilités exploitées par le trojan Flashback sont les mêmes que celles utilisées dans l'attaque à grande échelle sur les systèmes Windows. Bien que la mise à jour ait été mise à disposition pour Windows en Février, le temps qu'elle soit impactée chez tout le monde, les auteurs ont le temps de pondre un malware.
Mozilla a annoncé que, pour assurer que les anciennes versions ne soient pas exécutées, une blocklist a été mise en place pour Firefox sur Windows et qu'elle inclura le plugin Java pour les versions Java SE 6 Update 30 et antérieures, ainsi que les versions de Java SE 7 Update 2 et antérieures. La blocklist permettra d'empêcher les utilisateurs d'utiliser les versions antérieures à moins que celui-ci décide tout de même via une option de l'activer. Mozilla n'a pas encore ajouté le plugin Java à sa blocklist sur Apple mais ça ne saurait tarder.
Les utilisateurs Windows peuvent mettre à jour leur installation de Java par le téléchargement d'une version à jour de la Java Runtime Environment.
MISES A JOUR DE L'ARTICLE |