Edition du 21/01/2005 - par Marc Olanié

Sun corrige deux vulnérabilités affectant ses plug-in Java. Un bulletin d'alerte précis est disponible sur le site de l'éditeur, qui précise que les JDK et JRE 5.0 ne sont absolument pas concernés par le problème.

Le premier défaut permettrait à une appliquette non « certifiée » de s'attribuer des droits de lecture-écriture sur des fichiers locaux. Sont concernés les SDK et JRE 1.4.2, 1.4.1_06 et antérieurs, toutes les 1.4.0 et les édition 1.3.1_12 et antérieures pour Windows avec Internet Explorer.

La seconde faille, quand à elle, autoriserait une appliquette à interférer avec une autre appliquette au sein d'une même page Web, ayant pour conséquence le chargement de ressources telles que d'autres pages Web ou des fichiers, explique le communiqué. Sont cette fois-ci concernés les SDK et JRE 1.4.2_05 et antérieurs, toutes les éditions 1.4.1 et 1.4.0, ainsi que les versions 1.3.1_12 et antérieures pour Windows, Solaris et Linux.

Sun conseille, notamment pour ce qui concerne le premier problème, de désactiver les javascripts en attendant de mettre la machine à niveau avec les SDK et JRE 1.4.2_01 et 1.3.1_13 (ou versions ultérieures, bien entendu). Le second défaut est corrigé avec les SDK et JRE 1.4.2_06 et 1.3.1_13, ainsi que sur les évolutions suivantes.