Oracle corrige 40 failles Java
Annoncée pour le 18 juin, la mise à jour de Java SE vient corriger 40 failles dont 37 peuvent être exploitée sans exiger d'identification par mot de passe.
Oracle s'apprête à diffuser un patch de sécurité pour Java SE qui doit corriger 40 vulnérabilités. Celui-ci est prévu pour demain, 18 juin. La presque totalité des failles à corriger peuvent être exploitées sur un réseau sans que l'attaquant ait à fournir de nom d'utilisateur ni de mot de passe, a précisé Oracle. Il recommande à ses utilisateurs d'appliquer ce patch aussi vite que possible, soulignant la menace que fait peser une attaque ayant abouti.
Parmi les produits et composants affectés, on trouve différentes versions du kit de développement Java et de l'environnement de runtime (JDK et JRE 7 Update 21, 6 Update 45, 5.0 Update 45 et précédentes), ainsi que la plateforme de développement de client riche JavaFX, version 2.2.21 et antérieures.
Une succession de failles autour de Java
Oracle a essuyé un certain nombre de critiques ces derniers mois, une succession de vulnérabilités importantes ayant été découvertes autour de Java. Le fournisseur a donc promis de travailler pour renforcer les mesures de sécurité et se rapprocher de sa communauté. Et il y a un peu plus de deux semaines, il a dévoilé les améliorations qu'il prévoyait de faire dans ce domaine.
La dernière mise à jour trimestrielle livrée par Oracle remonte à avril. Il s'agissait de la mise à jour programmée concernant ses logiciels : base de données, middleware et applications. Ce patch avait alors corrigé 128 failles dans une série de produits. Dans cette catégorie, le prochain «Critical Patch Update » de l'éditeur est prévu pour le 16 juillet et la suivante le 15 octobre. Quant à la prochaine mise à jour pour Java SE, elle est également prévue pour le 15 octobre.
Oracle effectue des mises à jour trimestrielles, alors que Microsoft les diffuse mensuellement, le deuxième mardi de chaque mois, sous le nom de Patch Tuesday. Le prochain sera mis à disposition demain.
