Oracle publie un correctif d'urgence pour l'exploit zero-day Java

Oracle a publié lundi des correctifs d'urgence pour Java visant à remédier à deux vulnérabilités critiques, dont l'une est activement exploitée par des pirates informatiques dans des attaques ciblées. 2013-1493 et ​​CVE-2013-0809, sont situés dans le composant 2D de Java et ont reçu le score d'impact Oracle le plus élevé possible.

"Ces vulnérabilités peuvent être exploitables à distance sans authentification, c'est-à-dire qu'elles peuvent être exploitées sur un réseau sans la nécessité d'un nom d'utilisateur et mot de passe », a déclaré l'entreprise dans une alerte de sécurité. "Pour qu'un exploit réussisse, un utilisateur non averti exécutant une version affectée dans un navigateur doit visiter une page Web malveillante qui exploite ces vulnérabilités. Les exploits réussis peuvent affecter la disponibilité, l'intégrité et la confidentialité du système de l'utilisateur. "

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Les nouvelles mises à jour bump Java aux versions 7 Update 17 (7u17) et 6 Update 43 (6u43), en ignorant 7u16 et 6u42 pour des raisons qui n'étaient pas immédiatement claires.

Oracle note que Java 6u43 sera la dernière mise à jour disponible pour Java 6 et conseille aux utilisateurs de passer à Java 7. La disponibilité publique des mises à jour Java 6 devait se terminer avec Java 6 Update 41, publié le 19 février, mais il semble que la société ait fait une exception pour ce correctif d'urgence.

La vulnérabilité CVE-2013-1493 a été activement exploitée par attaquants depuis au moins jeudi dernier, lorsque les chercheurs de la firme de sécurité FireEye ont découvert des attaques qui l'utilisaient pour installer un logiciel malveillant appelé McRAT. Cependant, il semble qu'Oracle connaissait l'existence de cette faille depuis le début de février.

"Bien que des rapports d'exploitation active de la vulnérabilité CVE-2013-1493 aient été récemment reçus, ce bug a été initialement rapporté à Oracle le 1er février 2013, Malheureusement, il est trop tard pour être inclus dans la mise à jour de Critical Patch pour Java SE du 19 février ", a déclaré lundi Eric Maurice, directeur de l'assurance logicielle d'Oracle, dans un article de blog.

1493 dans la prochaine mise à jour Java Critical Patch prévue le 16 avril, a déclaré Maurice. Cependant, étant donné que la vulnérabilité a commencé à être exploitée par des attaquants, Oracle a décidé de publier un correctif plus tôt.

Les deux vulnérabilités adressées avec les dernières mises à jour n'affectent pas Java s'exécutant sur des serveurs, des applications Java autonomes ou des applications Java intégrées Maurice a dit.

Les utilisateurs peuvent désactiver la prise en charge du contenu Java basé sur le Web à partir de l'onglet Sécurité du panneau de configuration Java s'ils n'ont pas besoin de Java sur le Web. Les paramètres de sécurité d'un tel contenu sont définis par défaut, ce qui signifie que les utilisateurs sont invités à autoriser l'exécution d'applets Java non signés ou auto-signés dans les navigateurs.

Ceci est conçu pour empêcher l'exploitation automatique des vulnérabilités Java sur Web, mais ne fonctionne que si les utilisateurs sont capables de prendre des décisions informées sur les applets à autoriser et celles qui ne le sont pas. "Afin de se protéger, les utilisateurs de bureau ne devraient autoriser l'exécution des applets que lorsqu'ils s'attendent à de telles applets et à leur origine", a déclaré Maurice.