IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Java Discussion :

Faille de sécurité critique dans Java 7 Update 6


Sujet :

Java

  1. #41
    Modérateur
    Avatar de wax78
    Homme Profil pro
    Chef programmeur
    Inscrit en
    Août 2006
    Messages
    4 072
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : Belgique

    Informations professionnelles :
    Activité : Chef programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2006
    Messages : 4 072
    Points : 7 974
    Points
    7 974
    Par défaut
    C'était une vanne hein
    (Les "ça ne marche pas", même écrits sans faute(s), vous porteront discrédit ad vitam æternam et malheur pendant 7 ans)

    N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  2. #42
    Rédacteur/Modérateur
    Avatar de andry.aime
    Homme Profil pro
    Inscrit en
    Septembre 2007
    Messages
    8 391
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Ile Maurice

    Informations forums :
    Inscription : Septembre 2007
    Messages : 8 391
    Points : 15 059
    Points
    15 059
    Par défaut
    Ce n'est pas que java 7 mais java 6 aussi est concerné sauf que ce n'est pas critique que celui de 7. http://www.oracle.com/technetwork/to...1-1835715.html

  3. #43
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 549
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 549
    Points : 15 450
    Points
    15 450
    Par défaut
    A priori il y a aussi le "getField" dans AWT mais comme il est inexploitable, sans utiliser la classe "Expression", Java 6 est bien sur.

  4. #44
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut
    Oracle publie une mise à jour d’urgence
    pour corriger la faille de sécurité critique dans Java 7

    Mise à jour du 31/08/2012

    Oracle sort enfin de son silence.

    L’éditeur vient de publier une mise à jour de sécurité d’urgence pour corriger la faille de sécurité critique dans Java 7 qui a fait l’objet de plusieurs articles des experts en sécurité.

    La vulnérabilité peut être exploitée par un pirate à distance sans authentification via une page web malicieuse qui après consultation, peut affecter la disponibilité, l’intégrité et la confidentialité du système d’exploitation de l’utilisateur.

    Pour mettre les utilisateurs de Java à l’abri des potentielles attaques, Oracle rompt donc avec son traditionnel cycle de publication de correctifs trimestriels. La prochaine mise à jour de Java SE était prévue pour le 16 octobre prochain.

    Mais, il faut noter cependant que l’éditeur était au courant de cette vulnérabilité depuis avril 2012 (lire ci-devant), et sans la prolifération des preuves de faisabilité (PoC) sur internet, celui-ci n’allait probablement pas bouger le petit doigt jusqu’au mois d’octobre.

    En raison de la gravité de la faille, Oracle recommande l’installation de ce patch dès que possible. La mise à jour étiquetée Java 7 Update 7 est téléchargeable depuis la page Java SE Downloads. Les utilisateurs de Windows pourront recevoir automatiquement ce correctif.

    Le patch doit être appliqué pour toutes les versions de Java 7. Pour les versions antérieures, il n’est pas obligatoire.

    Télécharger la mise à jour Java 7u7


    Source : Oracle
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  5. #45
    Membre actif Avatar de Crazyfaboo
    Homme Profil pro
    Software Engineer
    Inscrit en
    Août 2004
    Messages
    89
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Software Engineer

    Informations forums :
    Inscription : Août 2004
    Messages : 89
    Points : 244
    Points
    244
    Par défaut
    Oracle n'a cependant pas communiqué sur la faille de sécurité en question. Il serait très surprenant que cette mise à jour hors planning et post-"scandale" ne corrige pas la faille. Cela dit, quelques tests s'avèrent tout de même nécessaire. D'autant plus qu'ils ont peut-être créé d'autres failles en la corrigeant (sûrement à la va-vite)...
    Bien qu'Oracle ait publié une MAJ, mais pas bien qu'ils ne communiquent pas sur la faille en particulier.

  6. #46
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 481
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 481
    Points : 48 806
    Points
    48 806
    Par défaut
    Citation Envoyé par Uther Voir le message
    A priori il y a aussi le "getField" dans AWT mais comme il est inexploitable, sans utiliser la classe "Expression", Java 6 est bien sur.
    Bof, à partir du moment où AWT expose une méthode permettant de tripatouiller des champs par introspection avec les droits du SM awt, pas impossible que d'autres moyens d'exploiter soient trouvables.

  7. #47
    Membre éprouvé

    Homme Profil pro
    Architecte technique
    Inscrit en
    Juin 2005
    Messages
    588
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Architecte technique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Juin 2005
    Messages : 588
    Points : 1 230
    Points
    1 230
    Par défaut
    Le patch d'Oracle semble bien corriger la faille 0-Day CVE-2012-4681 (Java7 et Java6up34) ainsi que plusieurs autres failles... Mais (source Zataz), la société polonaise Security Explorations affirme avoir découvert d'autres failles du même type

    Par ailleurs, la faille 0-Day resterait ouverte sous Mac Snow Leopard (la JVM n'étant pas gérée par Oracle pour cette version de l'OS).

    Toujours est-il: imho, demander de désactiver complètement la plateforme Java est plus qu'excessif... Je n'ai pas souvenance d'un tel conseil lorsqu'une faille concerne directement l'un de nos navigateurs Internet ou un OS !

  8. #48
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut
    Java : une vulnérabilité découverte dans le correctif d’urgence publié par Oracle
    pouvant produire les mêmes dommages

    Mise à jour du 03/09/2012

    La mise à jour de sécurité Java 7 update 7 publiée la semaine dernière par Oracle contient une nouvelle faille critique pouvant entrainer les mêmes dommages que la vulnérabilité qu’elle corrige.

    Java 7 u 7 avait été publié d’urgence comme correctif à une vulnérabilité critique dans la plateforme, pouvant être exploitée à distance par un pirate via une page web malicieuse qui, après consultation, pouvait affecter la disponibilité, l’intégrité et la confidentialité du système d’exploitation de l’utilisateur (lire ci-devant).

    Le cabinet polonais Security Explorations qui avait découvert la précédente faille a annoncé qu’il avait trouvé une autre vulnérabilité dans la dernière version de Java.

    Selon le PDG de Security Explorations Adam Gowdiak , la vulnérabilité permettrait à un pirate de contourner complètement la sécurité du sandbox Java, et d'installer des logiciels malveillants ou d'exécuter du code sur les systèmes affectés.

    Pour l’instant, cette vulnérabilité ne serait pas encore activement exploitée. Security Explorations a déclaré qu’il n’avait découvert aucun exploit reposant sur cette faille. Mais, pour combien de temps ?

    Les détails sur le problème ainsi qu’une preuve de réalisation ont été transmis à Oracle. Security Explorations s’est abstenu de les divulguer publiquement afin de limiter les risques.


    Avant une réaction d’Oracle, compte tenu de la similitude avec la précédente faille, il est recommandé de désactiver le plug-in Java dans les navigateurs.


    Source
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  9. #49
    Invité
    Invité(e)
    Par défaut
    Ca confirme quand même que la plupart des failles d'Internet viennent des plugins et non du navigateur en lui même. Java est beaucoup moins nécessaire aujourd'hui sur le Web et personnellement, j'ai fini par le désactiver aussi.

    Concernant la mise à jour qui comporte elle-même une faille, Oracle a sans doute voulu faire trop vite...

    Citation perso :

    La sécurité sur Internet est inversement proportionnelle au niveau de richesse et d'interactivité que propose un site.

  10. #50
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 549
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 549
    Points : 15 450
    Points
    15 450
    Par défaut
    Et pas que sur internet.
    C'est bien connu que le système le plus sur jamais réalisé c'est : http://www.bernardbelanger.com/computing/NaDa/index.php

  11. #51
    Modérateur
    Avatar de wax78
    Homme Profil pro
    Chef programmeur
    Inscrit en
    Août 2006
    Messages
    4 072
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : Belgique

    Informations professionnelles :
    Activité : Chef programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2006
    Messages : 4 072
    Points : 7 974
    Points
    7 974
    Par défaut
    lol j'adore ce soft Nada :p
    (Les "ça ne marche pas", même écrits sans faute(s), vous porteront discrédit ad vitam æternam et malheur pendant 7 ans)

    N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  12. #52
    Membre éprouvé

    Homme Profil pro
    Architecte technique
    Inscrit en
    Juin 2005
    Messages
    588
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Architecte technique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Juin 2005
    Messages : 588
    Points : 1 230
    Points
    1 230
    Par défaut
    Citation Envoyé par Hinault Romaric Voir le message
    Java : une vulnérabilité découverte dans le correctif d’urgence publié par Oracle pouvant produire les mêmes dommages
    Celà confirme le billet d'Eric Romang cité plus haut autres détails ici

    Mais l'origine de la faille n'est pas claire: est-ce du au patch ou était-elle présente sur Java7up6 et Java6up34 ?

    Perso, je dirais, que les personnes ne pouvant désactiver l'extension Java de leur explorateur internet ont tout intéret à revenir à Java6up33.

    Des bugs il y en a dans tous les soft... il n'en reste pas moins que la gestion de la situation par Oracle ressemble à celle de Microsoft il y a 10 ans Bref, pas très pro !

    En parlant de faille 0day: les gars Oracle font malgré eux le buzz... mais IMHO, Adobe fait encore plus fort en ce moment... et, pourtant, la presse du moment ne conseille pas de désactiver leur player ! Vas savoir pourquoi !

  13. #53
    Membre émérite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2008
    Messages
    1 190
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2008
    Messages : 1 190
    Points : 2 657
    Points
    2 657
    Par défaut
    Citation Envoyé par Squeak Voir le message
    Ca confirme quand même que la plupart des failles d'Internet viennent des plugins et non du navigateur en lui même. Java est beaucoup moins nécessaire aujourd'hui sur le Web et personnellement, j'ai fini par le désactiver aussi.

    Concernant la mise à jour qui comporte elle-même une faille, Oracle a sans doute voulu faire trop vite...

    Citation perso :

    La sécurité sur Internet est inversement proportionnelle au niveau de richesse et d'interactivité que propose un site.
    Bah le navigateur devient de plus en plus "simple" en fait, donc c'est aussi moins de porte d'entrée. La mode est au navigateur simple qu'on améliore par ajout, et donc c'est bien là que les risques sont grands.

  14. #54
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2008
    Messages
    832
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Décembre 2008
    Messages : 832
    Points : 2 625
    Points
    2 625
    Par défaut
    Citation Envoyé par Philippe Bastiani Voir le message
    et, pourtant, la presse du moment ne conseille pas de désactiver leur player ! Vas savoir pourquoi !
    Peut-être parce qu'il y a vachement plus de sites qui utilisent flash?
    Genre, par exemple, les sites des streaming. Les sites de jeux, aussi.

    D'ailleurs, le jour où ce sera possible de se passer de flash, rassures-toi, je pense que nombreux seront ceux qui le feront... notamment sous linux ou ce truc à une stabilité douteuse.

  15. #55
    Modérateur
    Avatar de Gugelhupf
    Homme Profil pro
    Analyste Programmeur
    Inscrit en
    Décembre 2011
    Messages
    1 320
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Analyste Programmeur

    Informations forums :
    Inscription : Décembre 2011
    Messages : 1 320
    Points : 3 740
    Points
    3 740
    Billets dans le blog
    12
    Par défaut
    Est-ce que ces failles peuvent aussi apparaitre dans un autre langage comme C# ou on les découvre plus en Java parce que celui-ci est très utilisé ?
    N'hésitez pas à consulter la FAQ Java, lire les cours et tutoriels Java, et à poser vos questions sur les forums d'entraide Java

    Ma page Developpez | Mon profil Linkedin | Vous souhaitez me contacter ? Contacter Gokan EKINCI

  16. #56
    Membre émérite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2008
    Messages
    1 190
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2008
    Messages : 1 190
    Points : 2 657
    Points
    2 657
    Par défaut
    Citation Envoyé par Gugelhupf Voir le message
    Est-ce que ces failles peuvent aussi apparaitre dans un autre langage comme C# ou on les découvre plus en Java parce que celui-ci est très utilisé ?
    Java est très utilisé pour le net, qui est donc la cible privilégié des attaques; D'ou la découverte de ces failles.

    Le c# en a surement, mais comme il est beaucoup moins utilisé sur le net, ça n'a pas vraiment d'importance.

  17. #57
    Membre éclairé Avatar de rt15
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2005
    Messages
    262
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Octobre 2005
    Messages : 262
    Points : 665
    Points
    665
    Par défaut
    Citation Envoyé par Gugelhupf Voir le message
    Est-ce que ces failles peuvent aussi apparaitre dans un autre langage comme C# ou on les découvre plus en Java parce que celui-ci est très utilisé ?
    Encore une fois, cette faille n'a d'intérêt qu'utilisée dans un applet.
    Et encore une fois aussi, java est peu utilisé sur le net côté client. Par contre la plupart des navigateurs exécutent les applets. Donc énormément d'utilisateurs lambda sont vulnérables.

    Une faille équivalente en C# reviendrait à une élévation de privilège dans une application silverlight. Ce type de faille est effectivement moins intéressant en terme de parc attaquable car moins de navigateurs d'utilisateurs lambda dispose de la capacité à exécuter des application silverlight. Ce bulletin parle de la découverte de ce type de faille. Les détails sont dans "Informations par vulnérabilité".

  18. #58
    Membre éprouvé
    Profil pro
    Inscrit en
    Juillet 2010
    Messages
    657
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2010
    Messages : 657
    Points : 1 240
    Points
    1 240
    Par défaut
    La sécurité sur Internet est inversement proportionnelle au niveau de richesse et d'interactivité que propose un site.
    non puisqu'un site peut être infecté par un code javascript malicieux , à l'insu du propriétaire du site.
    Personnellement par défaut je désactive tout ,et active les fonctionnalités telles que javascript ou flash si et seulement si elles sont nécessaires.

  19. #59
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par camus3 Voir le message
    non puisqu'un site peut être infecté par un code javascript malicieux , à l'insu du propriétaire du site.
    Personnellement par défaut je désactive tout ,et active les fonctionnalités telles que javascript ou flash si et seulement si elles sont nécessaires.
    Hors une attaque sur un site (et dans ce cas, l'attaquant peut tout faire et y insérer ce qu'il veut), je parlais plutôt des très nombreuses failles de Java, Flash, lecteurs multimédia etc.

  20. #60
    Membre éclairé Avatar de JoeChip
    Profil pro
    Inscrit en
    Septembre 2008
    Messages
    536
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Septembre 2008
    Messages : 536
    Points : 803
    Points
    803
    Par défaut
    Nan mais bon, si une seule faille dans un seul sous-sytème met en cause la sécurité de tout votre système, c'est qu'il n'est tout simplement pas sécurisé, quoi. Un peu comme un bateau qui coulerait dès qu'il pleut...
    Sans danger si utilisé conformément au mode d'emploi.

    (anciennement BenWillard, enfin moins anciennement que ... enfin bon c'est une longue histoire... Un genre de voyage dans le temps...)

Discussions similaires

  1. Faille de sécurité critique dans Java 7 activement exploitée
    Par Hinault Romaric dans le forum Général Java
    Réponses: 114
    Dernier message: 25/04/2013, 12h48
  2. Découverte d’une faille de sécurité critique dans iOS
    Par Hinault Romaric dans le forum Apple
    Réponses: 3
    Dernier message: 16/11/2011, 19h17
  3. Faille de sécurité critique dans le navigateur Opera
    Par Hinault Romaric dans le forum Opera
    Réponses: 6
    Dernier message: 21/10/2011, 14h52
  4. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 12h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo