|
|
|
Publicité ' | ||||||||||||||||||||||||
11/01/2013, 13h02
|
#1 |
       
  Hinault RomaricConsultant Inscription : janvier 2007 Messages : 2 832  |
Faille de sécurité critique dans Java 7 activement exploitée
Faille de sécurité critique dans Java 7 activement exploitée
pouvant être utilisée pour installer des malwares Une nouvelle faille de sécurité vient d’être découverte par des chercheurs en sécurité dans la plateforme de développement Java. Selon l’alerte de sécurité publiée par le groupe US-CERT (cellule américaine de sécurité informatique), la vulnérabilité concerne la dernière mise à jour Java 7 Update 10 et la mise à jour Java 7 Update 9 (versions qui ont été testées pour l’instant). La faille peut être exploitée par un pirate après la visite d’un site Web compromis pour exécuter du code arbitraire à distance et installer des applications malveillantes sur le poste d’un utilisateur. Les risques liés à cette faille sont assez élevés, dans la mesure où le code d’exploit a déjà été divulgué publiquement. Le kit de piratage BlackHole intègre une copie du code des instructions permettant d’exploiter la faille. Pour l’instant, Oracle n’a encore fait aucun commentaire sur cette nouvelle faille. Les experts en sécurité conseillent de désactiver le plug-in Java dans le navigateur tant qu’un correctif n’a pas été publié. Pour les utilisateurs de Java 7u10, ils pourront dans le panneau de configuration désactiver les applications Java qui s’exécutent dans le navigateur et définir un niveau de sécurité pour les applets non signés, les applications Java Web Start et les solutions embarquées JavaFX qui s’exécutent dans le navigateur. Source : US-CERT Et vous ?  Que pensez-vous de cette faille ?
__________________
Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire  Mon blog Mes articles En posant correctement votre problème, on trouve la moitié de la solution |
|
112
|
|
11/01/2013, 13h14
|
#2 |
|
Nouveau Membre du Club
  N'Dalaba DialloDéveloppeur Web Inscription : janvier 2010 Messages : 32     |
Avec tout le temps de nouvelles failles de sécurité je me demande comment oracle pourra confirmer son fameux javaFX qui souffre déjà d'une mauvaise réputation due au ancienne version.
|
|
|
23
|
|
11/01/2013, 14h13
|
#3 |
|
Membre éprouvé
  Charles Développeur .NET Inscription : août 2011 Messages : 59 |
J'en pense que de toute manière je n'ai pas réactivé mon plugin Java depuis très longtemps et que je vais continuer comme ça...
|
|
|
53
|
|
11/01/2013, 17h45
|
#4 |
|
Membre du Club
 
 Lionel SchinckusEn formation chez Technifutur pour me spécialisé dans le dev mobile Inscription : mars 2010 Messages : 40 |
Je vais finir par penser qu'Apple avait raison de ne plus installer Java dans OS X par défaut ou désactiver les plugins Java.
Cela commence a faire beaucoup de failles pour le plug-in Java. J'adore Java mais pas pour des Applets ou JavaFX. Je préfères les JSF, GWT et autres qui génèrent de l'HTML5, JS et CSS. |
|
|
41
|
|
11/01/2013, 19h44
|
#5 |
|
Candidat au titre de Membre du Club
 
Inscription : octobre 2006 Messages : 61 |
Oracle la poisse
que des soucis de sécurité depuis le rachat de SUN par Oracle
__________________
-- The Opening of the source helps humanity 
|
|
|
06
|
|
11/01/2013, 22h08
|
#6 | |
|
Membre chevronné
 
Inscription : décembre 2010 Messages : 236 |
Citation:
|
|
|
01
|
|
12/01/2013, 01h06
|
#7 |
|
Membre actif
  Mohamed BLKÉtudiant Inscription : août 2011 Messages : 147 |
Non mais ça c'est pas une faille, c'est un gouffre
|
|
|
45
|
|
12/01/2013, 08h26
|
#8 |
|
Membre éprouvé
olivier pittonÉtudiant Inscription : juin 2012 Messages : 210 |
Je ne pense pas que le réel problème vienne de Java, mais simplement de la façon dont on annonce la news, si je puis dire.
Une news disant : "Faille de sécurité critique", on a tendance à penser que le logiciel derrière n'est pas si vérifié et sur que cela. Une news disant : "Nouvelle version de Chrome..." avec plein de fonctionnalités / supports et une petite ligne pour "Chrome 24 apporte des correctifs pour 24 failles de sécurité" (cf: ici), on a tendance à penser que le logiciel est sur et robuste. Jusqu'à la news sur la prochaine version qui corrigera 10 failles dont 2 critiques. Quoiqu'il en soit, j'espère qu'Oracle la corrigera vite afin d'éviter de plomber l'image de Java. |
|
|
125
|
|
12/01/2013, 10h44
|
#9 | |
 
Laurent BarbareauIngénieur développement logiciels Inscription : novembre 2004 Messages : 2 991 |
Citation:
Car même si pour beaucoup je pense, on se passe en général aisément du plug-in Java dans le navigateur (personnellement il est assez rare que j'en ai besoin, ah si pour les impôts tiens), ceux qui en ont besoin plus régulièrement doivent être agacés (si tant est qu'ils connaissent l'existence du problème), d'avoir à l'activer ou le désactiver, selon les sites qu'ils visitent. Et pour ceux qui ignoreraient l'existence du problème c'est encore pire. Donc, oui, je pense qu'il y a matière à être volontairement alarmiste, tu ne crois pas ? Ca ne donne pas forcément une bonne image au produit concerné, c'est sûr, mais si ça peut contribuer à faire bouger les choses rapidement, dans ce genre de cas, je dirais que c'est un moindre mal.
__________________
Responsable FAQ Eclipse | Maintiens et développe un des logiciels destinés aux rédacteurs sur developpez.com Pensez à cliquer sur le bouton  une fois votre problème solutionné, merci.
|
|
|
|
31
|
|
13/01/2013, 09h58
|
#10 |
|
Invité de passage
 Inscription : août 2009 Messages : 2 |
Linux
Est ce que le risque existe pour les utilisateur linux aussi?
|
|
|
00
|
|
13/01/2013, 10h28
|
#11 | |
|
Membre expérimenté
 Etienne Ingénieur développement logiciels Inscription : août 2011 Messages : 108 |
Citation:
Après, c'est une question d'impact. De par la gestion des droits des systèmes linux, un code malveillant exploitant la faille n'aura pas un rayon d'action illimité. Mais ce n'est pas une raison pour se croire à l'abris. Il reste possible de voler ou détruire certaines données / préférences, voire d'utiliser cette faille pour en exploiter une autre au niveau de l'os. Donc à mon avis, désactive tes plugins Java, quelque soit l'os que tu utilises. |
|
|
|
21
|
|
13/01/2013, 20h13
|
#12 | |
|
Membre Expert
 Développeur java, access, sql server Inscription : octobre 2005 Messages : 1 322 |
Citation:
on l'ajoute d'un clic dans une liste de sites autorisés à utiliser java ou acrobat reader ou flash etc. Cela reviendrait à demander à l'utilisateur d'activer les plug-in par rapport aux sites et non par rapport à la sécurité des plug-in. par la suite, quand une faille de sécurité est découverte, ça ne poserait plus ce problème de tout désactiver en catastrophe (faire le tour de tous les ordis de la boîte pour vérifier les navigateurs) ! ce système existe déjà pour java web start.
__________________
·· −· −−· ·· ·−· ··− −− ·· −− ··− ··· −· −−− −·−· − · · − −·−· −−− −· ··· ··− −− ·· −− ··− ·−· ·· −−· −· ·· D'abord qu'il marche. Ensuite qu'il soit rapide. Enfin qu'il soit agréable à utiliser. First, make it work. Then, make it fast. Finally, make it user-friendly. Erst, mach', dass es funktioniert. Dann, mach', dass es schnell geht, Zum Schluss mach' es benutzerfreundlich. |
|
|
|
10
|
|
14/01/2013, 02h05
|
#13 | |
 
Fabrice BouyéDéveloppeur Java Inscription : août 2005 Messages : 4 078 |
Publication de Java 1.7.0_11
Citation:
__________________
Merci de penser au tag quand une réponse a été apportée à votre question. Aucune réponse ne sera donnée à des messages privés portant sur des questions d'ordre technique. Les forums sont là pour que vous y postiez publiquement vos problèmes. suivez mon blog sur Développez.Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the universe trying to produce bigger and better idiots. So far, the universe is winning. ~ Rich Cook |
|
|
|
00
|
|
14/01/2013, 18h03
|
#14 |
 
Idriss NeumannConsultant en SSII et auditeur au CNAM Paris (ingénieur SI) Inscription : février 2009 Messages : 3 795 |
Un certain nombre de messages ont été modérés suite à une intervention ayant fait dévier le sujet de la discussion. Merci de revenir au sujet initial.
|
|
|
00
|
|
15/01/2013, 09h47
|
#15 | |||
|
Membre expérimenté
Etienne Ingénieur développement logiciels Inscription : août 2011 Messages : 108 |
Citation:
Citation:
Citation:
|
|||
|
|
10
|
|
15/01/2013, 11h46
|
#16 | |
|
Expert Confirmé Sénior
 
Responsable de service informatique Inscription : avril 2007 Messages : 18 285 |
Citation:
Puis les employés doivent bien pouvoir faire tourner Azureus et Minecraft
__________________
⥀⥁ Чиз faq java, cours java, javadoc. Pensez à et  Laisse entrer le jour après une nuit sombre. Si tu es toujours là, tu n'es pas faite pour mourir. |
|
|
|
10
|
|
15/01/2013, 12h18
|
#17 |
|
Hinault Romaric Consultant Inscription : janvier 2007 Messages : 2 832 |
Oracle publie un correctif d’urgence pour la faille zero-day dans Java
les experts en sécurité, sceptiques, maintiennent la désactivation du plugin Oracle a publié un correctif d’urgence pour la faille de sécurité dans Java, activement exploitée par les pirates. La mise à jour Java 7 Update 11 apporte des correctifs pour les vulnérabilités étiquetées CVE-2013-0422 et CVE-2012-3174. La faille CVE-2013-0422, dont le code des instructions permettant de l’exploiter a déjà été implémenté dans deux kits de piratage, permet après la visite d’un site web compromis, d’exécuter du code arbitraire à distance et d'installer des applications malveillantes sur le poste d’un utilisateur. La vulnérabilité CVE-2012-3174, quant à elle, peut également être exploitée à distance via le plugin Java s’exécutant dans le navigateur, en incitant les utilisateurs à naviguer sur un site Web malveillant. Java 7u11 modifie également la politique de sécurité par défaut du plugin Java, de sorte que dorénavant, les applets non signés devraient toujours générer un message d’avertissement à l’utilisateur avant d’être exécutés. Oracle recommande l’application immédiate de cette mise à jour. La société estime également que les utilisateurs ayant désactivé le plugin Java peuvent l’activer à nouveau. Sauf que, les experts en sécurité, presque à l’unanimité, suggèrent de maintenir le plugin Java bloqué. « C’est bien qu’Oracle ait fixé cette vulnérabilité rapidement », écrit l’expert en sécurité Brian Krebs dans un billet de blog. « Mais, je vais continuer à conseiller aux utilisateurs de désactiver Java s’ils ne l’utilisent pas ». HB Moore, le créateur du kit de piratage Metasploit, estime qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java. Il est clair qu'Oracle devra attendre longtemps avant de restaurer la confiance secouée en la fiabilité du plug-in Java. Télécharger Java 7 Update 11Source : Oracle, Reuters, Krebs On Security
__________________
Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire Mon blog Mes articles En posant correctement votre problème, on trouve la moitié de la solution |
|
|
40
|
|
18/01/2013, 10h37
|
#18 |
|
Membre émérite
 Inscription : janvier 2006 Messages : 525 |
Tout ceci illustre une constante en technologie : plus on permet à un système de faire des tâches différentes et complexes, plus on génère soi mpeme les futurs problèmes de sécurité et/ou de fiabilité. Ca s'applique aux voitures dont le freinage est piloté par un ordinateur, aux avions dont la vitesse est régulée par une sonde qui peut congeler, aux régrigérateurs pilotés par CI, aux chauffages pilotés par thermostat radio et j'en passe...
Après, en phase 2, il y a la comm... Et là, on se met à la merci d'une bonne campagne de pub qui est capable de dégommer un produit. Et puis une faille de sécurité "Critique" c'est quoi ?
__________________
"L'incohérence de ceux qui dirigent et l'incompétence de ceux qui critiquent sont un vibrant hommage à ceux qui exécutent." Général George S. PATTON. Messine 1943. |
|
|
00
|
|
18/01/2013, 11h02
|
#19 |
|
Enseignant Inscription : juillet 2012 Messages : 10 |
Encore une !
Bonjour le fofo
Le souci avec ce plug-in, c'est que les failles réapparaissent aussi vite qu'elles sont comblées...  Bravo aux pirates dans cette affaire, non pas pour leur intention, mais plutôt pour leurs compétences. Oracle va devoir embaucher quelques uns d'entre eux... 
|
|
|
01
|
|
18/01/2013, 11h27
|
#20 |
|
Expert Confirmé Sénior
Responsable de service informatique Inscription : avril 2007 Messages : 18 285 |
Le security manager est pourri dans Oracle, depuis des années, depuis le début de java en fait, on distribue la même jvm pour exécute du code sur le desktop que pour exécuter du code sur le browser. Ce qu'il faudrait, ce serait un code séparé pour les applet qui n'aurait pas accès au système, non pas parce que le security manager l'en empeche, mais parce que les classes indispensable pour ouvrir les fichiers / exécuter des applications tierces / charger des librairies tierces n'existeraient pas.
Mais ça veux dire casser pas mal d'applets existantes en entreprise
__________________
⥀⥁ Чиз faq java, cours java, javadoc. Pensez à et Laisse entrer le jour après une nuit sombre. Si tu es toujours là, tu n'es pas faite pour mourir. |
|
|
10
|
Copyright © 2000-2013 - www.developpez.com