BT

Diffuser les Connaissances et l'Innovation dans le Développement Logiciel d'Entreprise

Contribuez

Sujets

Sélectionner votre région

Accueil InfoQ Actualités Oracle livre 51 correctifs de sécurité pour Java

Oracle livre 51 correctifs de sécurité pour Java

La semaine dernière, Oracle a livré un patch de mise à jour critique qui incluait 127 nouvelles corrections pour l'écosystème des produits Oracle, et notamment Java SE. Il y avait 51 correctifs de problèmes critiques qui affectaient la JVM client et server.

Parmi les 51 corrections de sécurité, il y a 50 vulnérabilités qui sont exploitable à distance sans authentification. 10 d'entre elles avaient reçu une note de 10.0 dans le système de notation Common Vulnerability Scoring System (CVSS), ce qui est la valeur la plus élevée du risque de vulnérabilité défini par la notation. Ce sous-ensemble de vulnérabilités permet "une prise en main complète du système visé (jusqu’au système d'exploitation)", offrant ainsi aux attaquants la possibilité d’exécuter du code sur l'hôte dans un contexte avec les privilèges administrateur.

Beaucoup de ces vulnérabilités affectent directement les environnements d’exécution clients de Java, et notamment le plugin des navigateurs qui permet d’exécuter du code Java sur une machine cliente visitant un site web avec une application embarquée. En ce qui concerne le lot des corrections, 40 d'entre elles sont spécifiques à l’environnement client à travers les applets ou WebStart. Dans la release note, Oracle annonce que parmi les 10 failles avec la note de 10.0, 8 concernent les clients et les serveurs.

L'architecture du cœur de Java définit 4 couches d'abstraction distinctes pour l’exécution du code, ce qui permet à Java de répondre au paradigme "Write Once, Run Anywhere". La couche du dessus est la couche "Java Application", où le code de l'application est écrit et communique avec la couche "Java Runtime" qui contient le code du cœur de Java, les protocoles de sécurité pour l'application et les bibliothèques. Le runtime interagit quant à lui avec le "Native layer" qui est responsable de l’abstraction de l’exécution dans la couche de base, le système d'exploitation. Les vulnérabilités avec une notation CVSS élevée ont la capacité de viser le "Native Layer" et donc d'outrepasser les mesures de sécurité qui se trouvent dans la couche Runtime. Les exploitations qui profitent des vulnérabilités de la couche Native sont alors en capacité d’exécuter du code directement dans le système d'exploitation et d'hériter des privilèges associés à l'utilisateur qui exécute le service Java.

Plus tôt cette année, Oracle avait annoncé qu'à partir d'octobre 2013, les patchs correctifs et de mise à jour seraient délivrés avec les CPUs (Critical Patch Updates) de l'écosystème Oracle. Ces CPUs sont livrés chaque trimestre, ce qui offre à Java 4 opportunités pour améliorer la sécurité. Oracle s'est réservé la possibilité de livrer un correctif en urgence grâce au programme Security Alert. Le CPU de ce mois est la 8ème mise à jour de Java en 2013.

Evaluer cet article

Pertinence
Style

Contenu Éducatif

BT