Si vous suivez ce blog vous savez que d’une vulnérabilité critique a été découverte récemment dans Oracle Java Runtime Environnement qui a été activement exploitée dans la nature depuis toujours.
La vulnérabilité affecte uniquement Java s’exécutant dans un navigateur web, et ma première recommandation est de désactiver Java dans tous les navigateurs web, ou de désinstaller complètement l’application, afin de protéger le système informatique à partir d’exploits ciblant les vulnérabilités.
Oracle a poussé à sortir un patch il y a quelques jours qui résout le problème de sécurité Dans Java 7 Patch 6 et les versions antérieures. Polonaise basée sur les de sécurité de Sécurité de l’entreprise Explorations cependant découvert une nouvelle vulnérabilité dans Oracle version corrigée que les attaquants peuvent exploiter pour sortir de la sandbox Java sur les systèmes vulnérables à exécuter du code sur le système d’exploitation.
La société a informé Oracle au sujet de la nouvelle vulnérabilité, et ne sera pas communiqué d’information publique ou de la preuve de concept de code jusqu’à ce que Oracle corrige le problème. Ce qui est intéressant à cet égard est que l’entreprise prétend avoir présenté le 29 Java 7 vulnérabilités de Oracle en avril, dont deux ont été activement exploitée par des attaquants dans les derniers jours.
Qu’est-ce que cela signifie pour les utilisateurs Java? Si vous n’avez pas besoin de Java et que vous êtes sûr à ce sujet, votre meilleur pari est de le désinstaller de votre système. Votre deuxième meilleur résultat après c’est de désactiver Java dans l’ensemble de vos navigateurs web, ou l’utilisation d’une fonctionnalité click-to-play (google Chrome cliquez pour jouer, Firefox cliquez pour jouer) ou un add-on comme NoScript pour bloquer Java contenu d’être exécutée lorsque vous chargez une page web.
La plupart des utilisateurs d’ordinateurs n’ont pas besoin de Java, et surtout pas dans le navigateur web. Bien qu’il existe de grands programmes ont été développés en Java, comme RRSOwl, JDownloader ou le populaire jeu de Minecraft, c’est une technologie que la majorité des utilisateurs n’ont pas besoin d’être installé sur leurs systèmes, en raison de l’absence de programmes ou applications. Si vous exécutez un Java desktop programme et que vous souhaitez continuer à l’utiliser, vous voudrez peut-être vérifier Java portable, une version portable de Java qui n’est pas l’ajout de lui-même pour les navigateurs web et seulement en cours d’exécution lorsque vous lancez le programme.