Faille de sécurité critique dans Java 7 Update 6

[JoeChip]

Moralité, connue depuis des décennies : il ne faut JAMAIS se presser pour installer une nouveauté...

[wax78]

En tout cas, Avira semble ne pas trop aimer l'exploit en question il le détecte directement (quand lancé dans eclipse, pas depuis un browser). Enfin, Jusqu'à ce que le code soit un peu modifié, et la plus de détection

Mais en applet dans le browser Avira ne bronche même pas

[andry.aime]

Citation:

Envoyé par JoeChip

Moralité, connue depuis des décennies : il ne faut JAMAIS se presser pour installer une nouveauté...

Mais Kevin pense que les nouvelles versions apportent plus de sécurité et de gadget, et plouf . D'ailleurs les failles existent très souvent mais on utilise que les applications qui l'on pense plus fiable.

[Awakening]

Citation:

Envoyé par andry.aime

Mais Kevin pense que les nouvelles versions apportent plus de sécurité et de gadget, et plouf

Mais Kévin n'aurait pas forcément tort, il y a des chances qu'une mise à jour répare certaines failles/bug.

Et de toute façon le tort n'est pas censé venir de l'utilisateur lambda qui n'est pas censé savoir que Java (ou Flash) est réputé pour avoir quelques failles.

[tchize_]

bref, finalement, l'idée de microsoft de résoudre les problèmes en mettant tout le navigateur dans une sandbox, c'était pas si con

[Uther]

Sauf que non vu que l'on a également trouvé des moyen de contourner cette sandox

[tchize_]

ouais mais du coup ça fait deux sandbox à contourner et contourner la sandbox IE à partir du java....

[Hinault Romaric]

Faille de sécurité critique dans Java 7
Oracle informé depuis avril 2012

Mise à jour du 30/08/2012

Depuis le début de cette semaine, l’écosystème Java est secoué par une faille de sécurité critique pouvant être exploitée pour installer des logiciels malveillants (lire ci-devant).

La vulnérabilité qui touche la version 1.7.x du JRE (Java Runtime Environment), peut être utilisée pour désactiver le SecurityManager et par conséquent le sandbox de Java pour exécuter du code arbitraire sur les systèmes vulnérables sans l’intervention de l’utilisateur.

Les experts en sécurité ont fait écho de cette faille après des analyses approfondies, révélant les systèmes d’exploitation touchés, les potentiels risques, les preuves de réalisation, etc.

Mais jusqu’ici, malgré tout ce remue-ménage, Oracle fait la sourde oreille et n’a encore publié aucun avis de sécurité ou annoncé une date pour une mise à jour. Ce qui parait le plus surprenant est qu’il semblerait que la société soit au courant de cette faille depuis avril 2012.

Le cabinet polonais Security Explorations avait publié un avertissement depuis le 2 avril 2012 et aurait informé Oracle, qui ne prendra même pas la peine de référencer le problème dans son bulletin d’alerte de sécurité.

Jusqu’ici, la page qui traite des questions de sécurité de la firme annonce la prochaine mise à jour de Java SE pour le 16 octobre 2012. Plus qu’à espérer que d’ici là, un correctif d’urgence soit publié.

Pour l’instant, les utilisateurs n’ont que comme alternative la désactivation du plug-in Java dans leur navigateur. Pour rappel, la faille touche Firefox sur Ubuntu 10.04, Internet Explorer, Chrome et Firefox sur Windows XP, Vista et Windows 7, Firefox et Safari sur Mac OS X 10.7.4.



Source : Avertissement de Security Explorations, Alerte d'Oracle sur la faille


Et vous ?

Que pensez-vous de l’attitude d'Oracle ?

[Gugelhupf]

Des fois je suis surpris de lire des articles comme celui-ci, je me dis que nous sommes peut-être quelques milliers d'informaticiens à lire ces infos et qu'il doit y avoir des centaines de milliers d'autres personnes qui n'en seront jamais au courant et qui seront peut-être affectés.

Citation:

Je ne comprend pas trop cette haine des plugins et l'émerveillement devant le javascript. Ce vieux langage pourris des années 90 que personne voulait utiliser.
Toutes ces années de recherches sur les Langages pour finalement imposer Javascript comme langage universel

Pour moi JavaScript n'est pas un langage très au point, mais je pense que les gens préfèrent rester avec cela et utiliser des frameworks cache-misère (qui avouons le sont très pratiques pour développer) que d'apprendre un énième nouveau langage.

[Crazyfaboo]

Si Oracle est au courant depuis Avril, ça veut dire que ça concernait aussi Java 7 update 3, 4 et 5...

[thelvin]

Citation:

Envoyé par Gugelhupf

Des fois je suis surpris de lire des articles comme celui-ci, je me dis que nous sommes peut-être quelques milliers d'informaticiens à lire ces infos et qu'il doit y avoir des centaines de milliers d'autres personnes qui n'en seront jamais au courant et qui seront peut-être affectés.

C'est pour ça que Firefox se permet de désactiver des plugins de temps en temps, en demandant à peine l'avis de la personne mal informée. On peut en dire ce qu'on veut en terme de comportement politique, en attendant c'est une sécurité accessible à tout le monde.

Citation:

Envoyé par Gugelhupf

Pour moi JavaScript n'est pas un langage très au point, mais je pense que les gens préfèrent rester avec cela et utiliser des frameworks cache-misère (qui avouons le sont très pratiques pour développer) que d'apprendre un énième nouveau langage.

Spas un nouveau langage à apprendre, s't'un nouveau langage à adapter, sécuriser, accélérer, intégrer, déployer. Pas la même chose.

[Freem]

Et sinon... je sais que java a tendance à être installé par défaut sur nombre de machines, mais... vous en avez beaucoup vous, en tant qu'utilisateurs, des applications java? Ou vous en voyez beaucoup des applets java sur le net?

Quand j'y pense vraiment, je me dis qu'aucune machine parmi celles que j'utilise actuellement n'utilise java... Alors à part les terminaux mobiles d'android, qu'est-ce qui est réellement affecté?

Quand on dit "faut pas désinstaller java pour si peu" ok, mais... désinstaller les logiciels dont on ne se sert pas est aussi un élément de sécurité. Et je me demande vraiment si JAVA sert tant que ça... p'tet en entreprise avec les logiciels internes?

En tout cas, chapeau oracle pour la réactivité... plus de 4 mois sans corriger une faille d'une telle criticité, c'est impressionnant.

[JoeChip]

Entendu parler de Minecraft...?

[zyhou]

jdownloader pour ma part.

[ghuysmans99]

@Freem : OpenSign, des applis gouvernementales belges comme Tax-On-Web...

[guidav]

Citation:

Envoyé par Freem

Et sinon... je sais que java a tendance à être installé par défaut sur nombre de machines, mais... vous en avez beaucoup vous, en tant qu'utilisateurs, des applications java? Ou vous en voyez beaucoup des applets java sur le net?

La déclaration d'impôts en France, non ?

Sinon, il y a pas mal d'applis internes qui sont développées en java.

[dragon-noir]

bonsoir ,
java7 update 7

dispo sur http://java.com/fr/download/manual.jsp

ne sait pas s'il elle comble la faille de sécurité silence radio pour l'instant

http://www.oracle.com/technetwork/ja...ads/index.html

Mise à jour Java SE 7 7 Paru
Cette mise à jour corrige des vulnérabilités de sécurité récentes. Oracle recommande vivement à tous les utilisateurs de Java SE 7 jour vers cette version.
http://www.oracle.com/technetwork/ja...iew/index.html

[Uther]

Citation:

Envoyé par tchize_

ouais mais du coup ça fait deux sandbox à contourner et contourner la sandbox IE à partir du java....

A partir du moment ou tu as désactivé la sandbox Java, tu peux faire appel à du code natif.

Citation:

Envoyé par Freem

Alors à part les terminaux mobiles d'android, qu'est-ce qui est réellement affecté?

Android se base sur sa propre VM (un dérivé de Harmony), il n'est donc pas affecté.

Citation:

Envoyé par Freem

Quand on dit "faut pas désinstaller java pour si peu" ok, mais... désinstaller les logiciels dont on ne se sert pas est aussi un élément de sécurité. Et je me demande vraiment si JAVA sert tant que ça... p'tet en entreprise avec les logiciels internes?

Il est vrai que Java est très peu utilisé pour les applets.
Mais il reste encore utilisé pour les applications. Pour ne citer que celles de j'utilise régulièrement : Azureus, Minecraft, Eclipse, JEdit... Dans le cadre des applications locales, ce genre de faille est généralement sans conséquence.

Donc dire désinstaller Java est clairement abusé. Par contre désactiver le plugin du navigateur est une bonne idée si on n'en a pas usage, et même indispensable en ce moment.

[wax78]

Citation:

Envoyé par ghuysmans99

@Freem : OpenSign, des applis gouvernementales belges comme Tax-On-Web...

Merde j'ai raté l'occasion d'être riche cette année ^^

[tchize_]

Citation:

Envoyé par wax78

Merde j'ai raté l'occasion d'être riche cette année ^^

Reve pas c'est du java serveur, pas concerné par ce problème d'appelt