Tout n’est pas résolu dans Java 7

Guy Kindermans Rédacteur de Data News

Le correctif lancé par Oracle d’un point faible dans Java 7 …

Le correctif lancé par Oracle d’un point faible dans Java 7 n’empêche pour autant pas l’abus de faiblesses bien connues.

Un point faible dans Java 7 récemment découvert et décrit comme ‘particulièrement critique’ a entre-temps fait l’objet d’un patch qui semble résoudre ce problème aigu. Voilà ce qu’indique Security Explorations sur Bugtraq, car l’action entreprise “fait en sorte qu’aucun code ‘proof of concept’ qui contournait complètement le bac à sable, ne fonctionne encore.” Il appert cependant une fois de plus clairement que l’on n’en a jamais fini avec la sécurité, mais qu’il s’agit d’un éternel recommencement. En effet, l’on a découvert dans le patch un nouveau point faible au niveau de la sécurité, qui ouvre la voie à plusieurs possibilités d’abus. L’entreprise affirme une fois encore avoir envoyé du code ‘proof of concept’ à Oracle.

Le problème des patches (ou des mises à jour) qui causent à leur tour d’autres difficultés, n’est absolument pas inhabituel. Les correctifs sont en effet bien testés, mais pas toujours en mettant un accent aussi soutenu sur ‘le contrôle de qualité’, ce qui fait que des problèmes ne peuvent jamais être exclus. Ne serait-ce d’ailleurs que parce que les conséquences de logiciels de tiers ne sont pas toujours faciles à évaluer. Les entreprises testeront dès lors souvent un patch d’abord en interne, avant de le mettre en production. Le hic, c’est qu’un correctif sécuritaire est en général si urgent que l’on n’a pas le temps de le tester soi-même et qu’il est automatiquement exécuté. Ce qui génère parfois de graves problèmes, comme l’a expérimenté il y a quelques années à ses dépens le spécialiste de sécurité McAfee (et ses clients) avec une mise à jour virale. Des tests relatifs à des faiblesses dans la sécurité s’avèrent par ailleurs très compliqués, dans la mesure où une application peut parfaitement fonctionner, tout en s’avérant quand même peu sûre sur un ou plusieurs points. Et la liste des problèmes de sécurité possibles est malheureusement longue et ne fait que croître.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire