Faille de sécurité critique dans Java 7 Update 6 - Page 3

wax78 · 31/08/2012, 09h15

C'était une vanne hein

andry.aime · 31/08/2012, 09h33

Ce n'est pas que java 7 mais java 6 aussi est concerné sauf que ce n'est pas critique que celui de 7.

http://www.oracle.com/technetwork/to...1-1835715.html

Uther · 31/08/2012, 10h46

A priori il y a aussi le "getField" dans AWT mais comme il est inexploitable, sans utiliser la classe "Expression", Java 6 est bien sur.

Hinault Romaric · 31/08/2012, 10h46

Oracle publie une mise à jour d’urgence
pour corriger la faille de sécurité critique dans Java 7

Mise à jour du 31/08/2012

Oracle sort enfin de son silence.

L’éditeur vient de publier une mise à jour de sécurité d’urgence pour corriger la faille de sécurité critique dans Java 7 qui a fait l’objet de plusieurs articles des experts en sécurité.

La vulnérabilité peut être exploitée par un pirate à distance sans authentification via une page web malicieuse qui après consultation, peut affecter la disponibilité, l’intégrité et la confidentialité du système d’exploitation de l’utilisateur.

Pour mettre les utilisateurs de Java à l’abri des potentielles attaques, Oracle rompt donc avec son traditionnel cycle de publication de correctifs trimestriels. La prochaine mise à jour de Java SE était prévue pour le 16 octobre prochain.

Mais, il faut noter cependant que l’éditeur était au courant de cette vulnérabilité depuis avril 2012 (lire ci-devant), et sans la prolifération des preuves de faisabilité (PoC) sur internet, celui-ci n’allait probablement pas bouger le petit doigt jusqu’au mois d’octobre.

En raison de la gravité de la faille, Oracle recommande l’installation de ce patch dès que possible. La mise à jour étiquetée Java 7 Update 7 est téléchargeable depuis la page Java SE Downloads. Les utilisateurs de Windows pourront recevoir automatiquement ce correctif.

Le patch doit être appliqué pour toutes les versions de Java 7. Pour les versions antérieures, il n’est pas obligatoire.

Télécharger la mise à jour Java 7u7

Source : Oracle

Crazyfaboo · 31/08/2012, 11h34

Oracle n'a cependant pas communiqué sur la faille de sécurité en question. Il serait très surprenant que cette mise à jour hors planning et post-"scandale" ne corrige pas la faille. Cela dit, quelques tests s'avèrent tout de même nécessaire. D'autant plus qu'ils ont peut-être créé d'autres failles en la corrigeant (sûrement à la va-vite)...
Bien qu'Oracle ait publié une MAJ, mais pas bien qu'ils ne communiquent pas sur la faille en particulier.

tchize_ · 31/08/2012, 12h16

Citation:

Envoyé par Uther

A priori il y a aussi le "getField" dans AWT mais comme il est inexploitable, sans utiliser la classe "Expression", Java 6 est bien sur.

Bof, à partir du moment où AWT expose une méthode permettant de tripatouiller des champs par introspection avec les droits du SM awt, pas impossible que d'autres moyens d'exploiter soient trouvables.

Philippe Bastiani · 01/09/2012, 15h31

Le patch d'Oracle semble bien corriger la faille 0-Day CVE-2012-4681 (Java7 et Java6up34) ainsi que plusieurs autres failles... Mais (source Zataz), la société polonaise Security Explorations affirme avoir découvert d'autres failles du même type

Par ailleurs, la faille 0-Day resterait ouverte sous Mac Snow Leopard (la JVM n'étant pas gérée par Oracle pour cette version de l'OS).

Toujours est-il: imho, demander de désactiver complètement la plateforme Java est plus qu'excessif... Je n'ai pas souvenance d'un tel conseil lorsqu'une faille concerne directement l'un de nos navigateurs Internet ou un OS !

Hinault Romaric · 03/09/2012, 16h16

Java : une vulnérabilité découverte dans le correctif d’urgence publié par Oracle
pouvant produire les mêmes dommages

Mise à jour du 03/09/2012

La mise à jour de sécurité Java 7 update 7 publiée la semaine dernière par Oracle contient une nouvelle faille critique pouvant entrainer les mêmes dommages que la vulnérabilité qu’elle corrige.

Java 7 u 7 avait été publié d’urgence comme correctif à une vulnérabilité critique dans la plateforme, pouvant être exploitée à distance par un pirate via une page web malicieuse qui, après consultation, pouvait affecter la disponibilité, l’intégrité et la confidentialité du système d’exploitation de l’utilisateur (lire ci-devant).

Le cabinet polonais Security Explorations qui avait découvert la précédente faille a annoncé qu’il avait trouvé une autre vulnérabilité dans la dernière version de Java.

Selon le PDG de Security Explorations Adam Gowdiak , la vulnérabilité permettrait à un pirate de contourner complètement la sécurité du sandbox Java, et d'installer des logiciels malveillants ou d'exécuter du code sur les systèmes affectés.

Pour l’instant, cette vulnérabilité ne serait pas encore activement exploitée. Security Explorations a déclaré qu’il n’avait découvert aucun exploit reposant sur cette faille. Mais, pour combien de temps ?

Les détails sur le problème ainsi qu’une preuve de réalisation ont été transmis à Oracle. Security Explorations s’est abstenu de les divulguer publiquement afin de limiter les risques.

Avant une réaction d’Oracle, compte tenu de la similitude avec la précédente faille, il est recommandé de désactiver le plug-in Java dans les navigateurs.

Source

Squeak · 03/09/2012, 19h35

Ca confirme quand même que la plupart des failles d'Internet viennent des plugins et non du navigateur en lui même. Java est beaucoup moins nécessaire aujourd'hui sur le Web et personnellement, j'ai fini par le désactiver aussi.

Concernant la mise à jour qui comporte elle-même une faille, Oracle a sans doute voulu faire trop vite...

Citation perso :

La sécurité sur Internet est inversement proportionnelle au niveau de richesse et d'interactivité que propose un site.

Uther · 03/09/2012, 19h41

Et pas que sur internet.
C'est bien connu que le système le plus sur jamais réalisé c'est : http://www.bernardbelanger.com/computing/NaDa/index.php

wax78 · 03/09/2012, 20h04

lol j'adore ce soft Nada :p

Philippe Bastiani · 03/09/2012, 23h13

Citation:

Envoyé par Hinault Romaric

Java : une vulnérabilité découverte dans le correctif d’urgence publié par Oracle pouvant produire les mêmes dommages

Celà confirme le billet d'Eric Romang cité plus haut

autres détails ici

Mais l'origine de la faille n'est pas claire: est-ce du au patch ou était-elle présente sur Java7up6 et Java6up34 ?

Perso, je dirais, que les personnes ne pouvant désactiver l'extension Java de leur explorateur internet ont tout intéret à revenir à Java6up33.

Des bugs il y en a dans tous les soft... il n'en reste pas moins que la gestion de la situation par Oracle ressemble à celle de Microsoft il y a 10 ans

Bref, pas très pro !

En parlant de faille 0day: les gars Oracle font malgré eux le buzz... mais IMHO, Adobe fait encore plus fort en ce moment... et, pourtant, la presse du moment ne conseille pas de désactiver leur player ! Vas savoir pourquoi !

deathness · 04/09/2012, 09h16

Citation:

Envoyé par Squeak

Ca confirme quand même que la plupart des failles d'Internet viennent des plugins et non du navigateur en lui même. Java est beaucoup moins nécessaire aujourd'hui sur le Web et personnellement, j'ai fini par le désactiver aussi.

Concernant la mise à jour qui comporte elle-même une faille, Oracle a sans doute voulu faire trop vite...

Citation perso :

La sécurité sur Internet est inversement proportionnelle au niveau de richesse et d'interactivité que propose un site.

Bah le navigateur devient de plus en plus "simple" en fait, donc c'est aussi moins de porte d'entrée. La mode est au navigateur simple qu'on améliore par ajout, et donc c'est bien là que les risques sont grands.

Freem · 04/09/2012, 09h55

Citation:

Envoyé par Philippe Bastiani

et, pourtant, la presse du moment ne conseille pas de désactiver leur player ! Vas savoir pourquoi !

Peut-être parce qu'il y a vachement plus de sites qui utilisent flash?
Genre, par exemple, les sites des streaming. Les sites de jeux, aussi.

D'ailleurs, le jour où ce sera possible de se passer de flash, rassures-toi, je pense que nombreux seront ceux qui le feront... notamment sous linux ou ce truc à une stabilité douteuse.

Gugelhupf · 04/09/2012, 10h45

Est-ce que ces failles peuvent aussi apparaitre dans un autre langage comme C# ou on les découvre plus en Java parce que celui-ci est très utilisé ?

deathness · 04/09/2012, 10h53

Citation:

Envoyé par Gugelhupf

Est-ce que ces failles peuvent aussi apparaitre dans un autre langage comme C# ou on les découvre plus en Java parce que celui-ci est très utilisé ?

Java est très utilisé pour le net, qui est donc la cible privilégié des attaques; D'ou la découverte de ces failles.

Le c# en a surement, mais comme il est beaucoup moins utilisé sur le net, ça n'a pas vraiment d'importance.

rt15 · 04/09/2012, 11h55

Citation:

Envoyé par Gugelhupf

Est-ce que ces failles peuvent aussi apparaitre dans un autre langage comme C# ou on les découvre plus en Java parce que celui-ci est très utilisé ?

Encore une fois, cette faille n'a d'intérêt qu'utilisée dans un applet.
Et encore une fois aussi, java est peu utilisé sur le net côté client. Par contre la plupart des navigateurs exécutent les applets. Donc énormément d'utilisateurs lambda sont vulnérables.

Une faille équivalente en C# reviendrait à une élévation de privilège dans une application silverlight. Ce type de faille est effectivement moins intéressant en terme de parc attaquable car moins de navigateurs d'utilisateurs lambda dispose de la capacité à exécuter des application silverlight. Ce bulletin parle de la découverte de ce type de faille. Les détails sont dans "Informations par vulnérabilité".

camus3 · 04/09/2012, 13h11

Citation:

La sécurité sur Internet est inversement proportionnelle au niveau de richesse et d'interactivité que propose un site.

non puisqu'un site peut être infecté par un code javascript malicieux , à l'insu du propriétaire du site.
Personnellement par défaut je désactive tout ,et active les fonctionnalités telles que javascript ou flash si et seulement si elles sont nécessaires.

Squeak · 04/09/2012, 20h09

Citation:

Envoyé par camus3

non puisqu'un site peut être infecté par un code javascript malicieux , à l'insu du propriétaire du site.
Personnellement par défaut je désactive tout ,et active les fonctionnalités telles que javascript ou flash si et seulement si elles sont nécessaires.

Hors une attaque sur un site (et dans ce cas, l'attaquant peut tout faire et y insérer ce qu'il veut), je parlais plutôt des très nombreuses failles de Java, Flash, lecteurs multimédia etc.

JoeChip · 05/09/2012, 10h01

Nan mais bon, si une seule faille dans un seul sous-sytème met en cause la sécurité de tout votre système, c'est qu'il n'est tout simplement pas sécurisé, quoi. Un peu comme un bateau qui coulerait dès qu'il pleut...

31/08/2012, 09h15	#41
wax78 Modérateur Renaud Warnotte Développeur informatique Inscription : août 2006 Messages : 2 131 Détails du profil Informations personnelles : Nom : Renaud Warnotte Âge : 32 Localisation : Belgique Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : août 2006 Messages : 2 131 Points : 4 070 Points : 4 070	C'était une vanne hein
	00

31/08/2012, 09h33	#42
andry.aime Rédacteur/Modérateur Andry Aimé Inscription : septembre 2007 Messages : 6 344 Détails du profil Informations personnelles : Nom : Andry Aimé Localisation : Ile Maurice Informations forums : Inscription : septembre 2007 Messages : 6 344 Points : 9 945 Points : 9 945	Ce n'est pas que java 7 mais java 6 aussi est concerné sauf que ce n'est pas critique que celui de 7. http://www.oracle.com/technetwork/to...1-1835715.html
	00

31/08/2012, 10h46	#43
Uther Expert Confirmé Sénior Inscription : avril 2002 Messages : 2 676 Détails du profil Informations personnelles : Sexe : Localisation : France Informations forums : Inscription : avril 2002 Messages : 2 676 Points : 5 102 Points : 5 102	A priori il y a aussi le "getField" dans AWT mais comme il est inexploitable, sans utiliser la classe "Expression", Java 6 est bien sur.
	00

31/08/2012, 10h46	#44
Hinault Romaric Responsable Actualités Hinault Romaric Consultant Inscription : janvier 2007 Messages : 2 824 Détails du profil Informations personnelles : Nom : Hinault Romaric Localisation : Cameroun Informations professionnelles : Activité : Consultant Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2007 Messages : 2 824 Points : 37 286 Points : 37 286	Oracle publie une mise à jour d’urgence pour corriger la faille de sécurité critique dans Java 7 Mise à jour du 31/08/2012 Oracle sort enfin de son silence. L’éditeur vient de publier une mise à jour de sécurité d’urgence pour corriger la faille de sécurité critique dans Java 7 qui a fait l’objet de plusieurs articles des experts en sécurité. La vulnérabilité peut être exploitée par un pirate à distance sans authentification via une page web malicieuse qui après consultation, peut affecter la disponibilité, l’intégrité et la confidentialité du système d’exploitation de l’utilisateur. Pour mettre les utilisateurs de Java à l’abri des potentielles attaques, Oracle rompt donc avec son traditionnel cycle de publication de correctifs trimestriels. La prochaine mise à jour de Java SE était prévue pour le 16 octobre prochain. Mais, il faut noter cependant que l’éditeur était au courant de cette vulnérabilité depuis avril 2012 (lire ci-devant), et sans la prolifération des preuves de faisabilité (PoC) sur internet, celui-ci n’allait probablement pas bouger le petit doigt jusqu’au mois d’octobre. En raison de la gravité de la faille, Oracle recommande l’installation de ce patch dès que possible. La mise à jour étiquetée Java 7 Update 7 est téléchargeable depuis la page Java SE Downloads. Les utilisateurs de Windows pourront recevoir automatiquement ce correctif. Le patch doit être appliqué pour toutes les versions de Java 7. Pour les versions antérieures, il n’est pas obligatoire. Télécharger la mise à jour Java 7u7 Source : Oracle __________________ Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire Mon blog Mes articles En posant correctement votre problème, on trouve la moitié de la solution
	10

01/09/2012, 15h31	#47
Philippe Bastiani Membre émérite Philippe BASTIANI Architecte technique Inscription : juin 2005 Messages : 400 Détails du profil Informations personnelles : Nom : Philippe BASTIANI Localisation : France, Essonne (Île de France) Informations professionnelles : Activité : Architecte technique Secteur : High Tech - Opérateur de télécommunications Informations forums : Inscription : juin 2005 Messages : 400 Points : 831 Points : 831	Le patch d'Oracle semble bien corriger la faille 0-Day CVE-2012-4681 (Java7 et Java6up34) ainsi que plusieurs autres failles... Mais (source Zataz), la société polonaise Security Explorations affirme avoir découvert d'autres failles du même type Par ailleurs, la faille 0-Day resterait ouverte sous Mac Snow Leopard (la JVM n'étant pas gérée par Oracle pour cette version de l'OS). Toujours est-il: imho, demander de désactiver complètement la plateforme Java est plus qu'excessif... Je n'ai pas souvenance d'un tel conseil lorsqu'une faille concerne directement l'un de nos navigateurs Internet ou un OS !
	00

31/08/2012, 11h34	#45
Crazyfaboo Membre confirmé Software Engineer Inscription : août 2004 Messages : 90 Détails du profil Informations personnelles : Sexe : Âge : 24 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Software Engineer Informations forums : Inscription : août 2004 Messages : 90 Points : 254 Points : 254	Oracle n'a cependant pas communiqué sur la faille de sécurité en question. Il serait très surprenant que cette mise à jour hors planning et post-"scandale" ne corrige pas la faille. Cela dit, quelques tests s'avèrent tout de même nécessaire. D'autant plus qu'ils ont peut-être créé d'autres failles en la corrigeant (sûrement à la va-vite)... Bien qu'Oracle ait publié une MAJ, mais pas bien qu'ils ne communiquent pas sur la faille en particulier.
	20

03/09/2012, 16h16	#48
Hinault Romaric Responsable Actualités Hinault Romaric Consultant Inscription : janvier 2007 Messages : 2 824 Détails du profil Informations personnelles : Nom : Hinault Romaric Localisation : Cameroun Informations professionnelles : Activité : Consultant Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2007 Messages : 2 824 Points : 37 286 Points : 37 286	Java : une vulnérabilité découverte dans le correctif d’urgence publié par Oracle pouvant produire les mêmes dommages Mise à jour du 03/09/2012 La mise à jour de sécurité Java 7 update 7 publiée la semaine dernière par Oracle contient une nouvelle faille critique pouvant entrainer les mêmes dommages que la vulnérabilité qu’elle corrige. Java 7 u 7 avait été publié d’urgence comme correctif à une vulnérabilité critique dans la plateforme, pouvant être exploitée à distance par un pirate via une page web malicieuse qui, après consultation, pouvait affecter la disponibilité, l’intégrité et la confidentialité du système d’exploitation de l’utilisateur (lire ci-devant). Le cabinet polonais Security Explorations qui avait découvert la précédente faille a annoncé qu’il avait trouvé une autre vulnérabilité dans la dernière version de Java. Selon le PDG de Security Explorations Adam Gowdiak , la vulnérabilité permettrait à un pirate de contourner complètement la sécurité du sandbox Java, et d'installer des logiciels malveillants ou d'exécuter du code sur les systèmes affectés. Pour l’instant, cette vulnérabilité ne serait pas encore activement exploitée. Security Explorations a déclaré qu’il n’avait découvert aucun exploit reposant sur cette faille. Mais, pour combien de temps ? Les détails sur le problème ainsi qu’une preuve de réalisation ont été transmis à Oracle. Security Explorations s’est abstenu de les divulguer publiquement afin de limiter les risques. Avant une réaction d’Oracle, compte tenu de la similitude avec la précédente faille, il est recommandé de désactiver le plug-in Java dans les navigateurs. Source __________________ Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire Mon blog Mes articles En posant correctement votre problème, on trouve la moitié de la solution
	20

03/09/2012, 19h35	#49
Squeak Membre habitué Inscription : avril 2012 Messages : 47 Détails du profil Informations personnelles : Sexe : Informations forums : Inscription : avril 2012 Messages : 47 Points : 101 Points : 101	Ca confirme quand même que la plupart des failles d'Internet viennent des plugins et non du navigateur en lui même. Java est beaucoup moins nécessaire aujourd'hui sur le Web et personnellement, j'ai fini par le désactiver aussi. Concernant la mise à jour qui comporte elle-même une faille, Oracle a sans doute voulu faire trop vite... Citation perso : La sécurité sur Internet est inversement proportionnelle au niveau de richesse et d'interactivité que propose un site.
	01

03/09/2012, 19h41	#50
Uther Expert Confirmé Sénior Inscription : avril 2002 Messages : 2 676 Détails du profil Informations personnelles : Sexe : Localisation : France Informations forums : Inscription : avril 2002 Messages : 2 676 Points : 5 102 Points : 5 102	Et pas que sur internet. C'est bien connu que le système le plus sur jamais réalisé c'est : http://www.bernardbelanger.com/computing/NaDa/index.php
	20

03/09/2012, 20h04	#51
wax78 Modérateur Renaud Warnotte Développeur informatique Inscription : août 2006 Messages : 2 131 Détails du profil Informations personnelles : Nom : Renaud Warnotte Âge : 32 Localisation : Belgique Informations professionnelles : Activité : Développeur informatique Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : août 2006 Messages : 2 131 Points : 4 070 Points : 4 070	lol j'adore ce soft Nada :p
	00

04/09/2012, 10h45	#55
Gugelhupf Membre éclairé Développeur informatique Inscription : décembre 2011 Messages : 237 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Activité : Développeur informatique Informations forums : Inscription : décembre 2011 Messages : 237 Points : 335 Points : 335	Est-ce que ces failles peuvent aussi apparaitre dans un autre langage comme C# ou on les découvre plus en Java parce que celui-ci est très utilisé ?
	00

05/09/2012, 10h01	#60
JoeChip Membre éprouvé Inscription : septembre 2008 Messages : 350 Détails du profil Informations forums : Inscription : septembre 2008 Messages : 350 Points : 424 Points : 424	Nan mais bon, si une seule faille dans un seul sous-sytème met en cause la sécurité de tout votre système, c'est qu'il n'est tout simplement pas sécurisé, quoi. Un peu comme un bateau qui coulerait dès qu'il pleut... __________________ Sans danger si utilisé conformément au mode d'emploi. (anciennement BenWillard, enfin moins anciennement que ... enfin bon c'est une longue histoire... Un genre de voyage dans le temps...)
	11

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email