IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Java Discussion :

Faille de sécurité critique dans Java 7 activement exploitée


Sujet :

Java

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Faille de sécurité critique dans Java 7 activement exploitée
    Faille de sécurité critique dans Java 7 activement exploitée
    pouvant être utilisée pour installer des malwares


    Une nouvelle faille de sécurité vient d’être découverte par des chercheurs en sécurité dans la plateforme de développement Java.

    Selon l’alerte de sécurité publiée par le groupe US-CERT (cellule américaine de sécurité informatique), la vulnérabilité concerne la dernière mise à jour Java 7 Update 10 et la mise à jour Java 7 Update 9 (versions qui ont été testées pour l’instant).

    La faille peut être exploitée par un pirate après la visite d’un site Web compromis pour exécuter du code arbitraire à distance et installer des applications malveillantes sur le poste d’un utilisateur.

    Les risques liés à cette faille sont assez élevés, dans la mesure où le code d’exploit a déjà été divulgué publiquement. Le kit de piratage BlackHole intègre une copie du code des instructions permettant d’exploiter la faille.

    Pour l’instant, Oracle n’a encore fait aucun commentaire sur cette nouvelle faille. Les experts en sécurité conseillent de désactiver le plug-in Java dans le navigateur tant qu’un correctif n’a pas été publié.

    Pour les utilisateurs de Java 7u10, ils pourront dans le panneau de configuration désactiver les applications Java qui s’exécutent dans le navigateur et définir un niveau de sécurité pour les applets non signés, les applications Java Web Start et les solutions embarquées JavaFX qui s’exécutent dans le navigateur.


    Source : US-CERT


    Et vous ?

    Que pensez-vous de cette faille ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre habitué
    Homme Profil pro
    Développeur Web
    Inscrit en
    Janvier 2010
    Messages
    62
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Janvier 2010
    Messages : 62
    Points : 125
    Points
    125
    Par défaut
    Avec tout le temps de nouvelles failles de sécurité je me demande comment oracle pourra confirmer son fameux javaFX qui souffre déjà d'une mauvaise réputation due au ancienne version.

  3. #3
    Membre confirmé Avatar de CHbox
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Août 2011
    Messages
    107
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2011
    Messages : 107
    Points : 540
    Points
    540
    Par défaut
    J'en pense que de toute manière je n'ai pas réactivé mon plugin Java depuis très longtemps et que je vais continuer comme ça...

  4. #4
    Membre habitué Avatar de ValCapri
    Homme Profil pro
    En formation chez Technifutur pour me spécialisé dans le dev mobile
    Inscrit en
    Mars 2010
    Messages
    54
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Belgique

    Informations professionnelles :
    Activité : En formation chez Technifutur pour me spécialisé dans le dev mobile

    Informations forums :
    Inscription : Mars 2010
    Messages : 54
    Points : 130
    Points
    130
    Par défaut
    Je vais finir par penser qu'Apple avait raison de ne plus installer Java dans OS X par défaut ou désactiver les plugins Java.

    Cela commence a faire beaucoup de failles pour le plug-in Java.

    J'adore Java mais pas pour des Applets ou JavaFX. Je préfères les JSF, GWT et autres qui génèrent de l'HTML5, JS et CSS.

  5. #5
    Nouveau membre du Club Avatar de mascoco
    Profil pro
    chef
    Inscrit en
    Octobre 2006
    Messages
    66
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : chef

    Informations forums :
    Inscription : Octobre 2006
    Messages : 66
    Points : 25
    Points
    25
    Par défaut Oracle la poisse
    que des soucis de sécurité depuis le rachat de SUN par Oracle
    --
    The Opening of the source helps humanity

  6. #6
    En attente de confirmation mail
    Profil pro
    Inscrit en
    Décembre 2010
    Messages
    555
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2010
    Messages : 555
    Points : 1 597
    Points
    1 597
    Par défaut
    Citation Envoyé par mascoco Voir le message
    que des soucis de sécurité depuis le rachat de SUN par Oracle
    Et encore... habituellement, la faille est suivie jusqu'à SE6 du temps de Sun, donc des failles qui ont peut-être toujours été là.

  7. #7
    Membre confirmé

    Homme Profil pro
    Étudiant
    Inscrit en
    Août 2011
    Messages
    181
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Août 2011
    Messages : 181
    Points : 519
    Points
    519
    Billets dans le blog
    1
    Par défaut
    Non mais ça c'est pas une faille, c'est un gouffre

  8. #8
    Membre émérite
    Avatar de olivier.pitton
    Homme Profil pro
    Développeur Java
    Inscrit en
    Juin 2012
    Messages
    355
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2012
    Messages : 355
    Points : 2 814
    Points
    2 814
    Par défaut
    Je ne pense pas que le réel problème vienne de Java, mais simplement de la façon dont on annonce la news, si je puis dire.

    Une news disant : "Faille de sécurité critique", on a tendance à penser que le logiciel derrière n'est pas si vérifié et sur que cela.

    Une news disant : "Nouvelle version de Chrome..." avec plein de fonctionnalités / supports et une petite ligne pour "Chrome 24 apporte des correctifs pour 24 failles de sécurité" (cf: ici), on a tendance à penser que le logiciel est sur et robuste. Jusqu'à la news sur la prochaine version qui corrigera 10 failles dont 2 critiques.

    Quoiqu'il en soit, j'espère qu'Oracle la corrigera vite afin d'éviter de plomber l'image de Java.

  9. #9
    Rédacteur/Modérateur
    Avatar de Laurent.B
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Novembre 2004
    Messages
    3 468
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2004
    Messages : 3 468
    Points : 17 036
    Points
    17 036
    Par défaut
    Citation Envoyé par olivier.pitton Voir le message
    Je ne pense pas que le réel problème vienne de Java, mais simplement de la façon dont on annonce la news, si je puis dire.
    La façon dont est annoncée la news traduit simplement le fait, à mon sens, que l'on aimerait bien qu'Oracle prenne ce genre de problème au sérieux et réagisse plus vite que ce qu'ils ne l'ont fait jusqu'à maintenant...

    Car même si pour beaucoup je pense, on se passe en général aisément du plug-in Java dans le navigateur (personnellement il est assez rare que j'en ai besoin, ah si pour les impôts tiens), ceux qui en ont besoin plus régulièrement doivent être agacés (si tant est qu'ils connaissent l'existence du problème), d'avoir à l'activer ou le désactiver, selon les sites qu'ils visitent. Et pour ceux qui ignoreraient l'existence du problème c'est encore pire. Donc, oui, je pense qu'il y a matière à être volontairement alarmiste, tu ne crois pas ? Ca ne donne pas forcément une bonne image au produit concerné, c'est sûr, mais si ça peut contribuer à faire bouger les choses rapidement, dans ce genre de cas, je dirais que c'est un moindre mal.
    Responsable FAQ Eclipse | Maintiens et développe un des logiciels destinés aux rédacteurs sur developpez.com
    Gardons toujours à l'esprit que le forum constitue une base documentaire, dont l'utilité et la qualité dépendent du soin apporté à nos questions et nos réponses. Soyons polis, précis (dans le titre et dans le corps des questions), concis, constructifs et faisons de notre mieux pour respecter la langue française et sa grammaire. Merci pour nous (les modérateurs) mais aussi et surtout, merci pour vous.
    Problème solutionné => je vais au bas de la page et je clique sur le bouton (qui suite à mise à jour du forum, a légèrement changé d'aspect).

  10. #10
    Candidat au Club
    Inscrit en
    Août 2009
    Messages
    2
    Détails du profil
    Informations forums :
    Inscription : Août 2009
    Messages : 2
    Points : 2
    Points
    2
    Par défaut Linux
    Est ce que le risque existe pour les utilisateur linux aussi?

  11. #11
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par amine_dev Voir le message
    Est ce que le risque existe pour les utilisateur linux aussi?
    Je ne vois pas pourquoi linux serait épargné. La faille est exploitée par le biais des plugins Java installés sur les navigateurs web. Si tu as ce type de plugin, il est recommandé de le(s) désactiver.

    Après, c'est une question d'impact. De par la gestion des droits des systèmes linux, un code malveillant exploitant la faille n'aura pas un rayon d'action illimité. Mais ce n'est pas une raison pour se croire à l'abris. Il reste possible de voler ou détruire certaines données / préférences, voire d'utiliser cette faille pour en exploiter une autre au niveau de l'os.

    Donc à mon avis, désactive tes plugins Java, quelque soit l'os que tu utilises.

  12. #12
    Modérateur

    Homme Profil pro
    Développeur java, access, sql server
    Inscrit en
    Octobre 2005
    Messages
    2 705
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur java, access, sql server
    Secteur : Industrie

    Informations forums :
    Inscription : Octobre 2005
    Messages : 2 705
    Points : 4 783
    Points
    4 783
    Par défaut
    Citation Envoyé par Laurent.B Voir le message
    ... on se passe en général aisément du plug-in Java dans le navigateur (personnellement il est assez rare que j'en ai besoin, ah si pour les impôts tiens), ceux qui en ont besoin plus régulièrement doivent être agacés (si tant est qu'ils connaissent l'existence du problème), d'avoir à l'activer ou le désactiver, selon les sites qu'ils visitent ...
    On pourrait imaginer que lorsqu'on visite un site "de confiance" (les impôts)
    on l'ajoute d'un clic dans une liste de sites autorisés à utiliser java ou acrobat reader ou flash etc.

    Cela reviendrait à demander à l'utilisateur d'activer les plug-in par rapport aux sites
    et non par rapport à la sécurité des plug-in.

    par la suite, quand une faille de sécurité est découverte, ça ne poserait plus ce problème de tout désactiver en catastrophe (faire le tour de tous les ordis de la boîte pour vérifier les navigateurs) !

    ce système existe déjà pour java web start.
    Labor improbus omnia vincit un travail acharné vient à bout de tout - Ambroise Paré (1510-1590)

    Consulter sans modération la FAQ ainsi que les bons ouvrages : http://jmdoudoux.developpez.com/cours/developpons/java/

  13. #13
    Rédacteur/Modérateur

    Avatar de bouye
    Homme Profil pro
    Information Technologies Specialist (Scientific Computing)
    Inscrit en
    Août 2005
    Messages
    6 838
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : Nouvelle-Calédonie

    Informations professionnelles :
    Activité : Information Technologies Specialist (Scientific Computing)
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : Août 2005
    Messages : 6 838
    Points : 22 844
    Points
    22 844
    Billets dans le blog
    51
    Par défaut
    Publication de Java 1.7.0_11

    Citation Envoyé par http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html
    This release contains fixes for security vulnerabilities. For more information, see Oracle Security Alert for CVE-2013-0422.
    Merci de penser au tag quand une réponse a été apportée à votre question. Aucune réponse ne sera donnée à des messages privés portant sur des questions d'ordre technique. Les forums sont là pour que vous y postiez publiquement vos problèmes.

    suivez mon blog sur Développez.

    Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the universe trying to produce bigger and better idiots. So far, the universe is winning. ~ Rich Cook

  14. #14
    Rédacteur

    Avatar de ok.Idriss
    Homme Profil pro
    IS Consultant
    Inscrit en
    Février 2009
    Messages
    5 220
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : IS Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2009
    Messages : 5 220
    Points : 19 449
    Points
    19 449
    Par défaut
    Un certain nombre de messages ont été modérés suite à une intervention ayant fait dévier le sujet de la discussion. Merci de revenir au sujet initial.

  15. #15
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par bouye Voir le message
    Publication de Java 1.7.0_11
    Apparemment, le correctif ne corrige pas tout, loin s'en faut.

    Citation Envoyé par Adam Gowdiak de Security Explorations
    Nous ne pouvons affirmer aux utilisateurs qu’il est de nouveau sûr d’autoriser Java. [...] Java est un désordre. Il n’est pas sécurisé. Vous devez le désactiver.
    Citation Envoyé par HD Moore créateur de Metasploit et chercheur en sécurité pour Rapid7
    La chose la plus sûre à ce stade est de considérer que Java restera toujours vulnérable. Les gens n’ont pas réellement besoin de Java sur leur poste de travail.
    Dernière modification par Domi2 ; 16/01/2013 à 08h55. Motif: Lien non pérenne

  16. #16
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 481
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 481
    Points : 48 806
    Points
    48 806
    Par défaut
    La chose la plus sûre à ce stade est de considérer que Java restera toujours vulnérable. Les gens n’ont pas réellement besoin de Java sur leur poste de travail.
    Heuuu, je dirais plutot "dans leur browser", parce que là où je suis, on a quand même pas mal d'outils codé en java, modèle desktop application.

    Puis les employés doivent bien pouvoir faire tourner Azureus et Minecraft

  17. #17
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut
    Oracle publie un correctif d’urgence pour la faille zero-day dans Java
    les experts en sécurité, sceptiques, maintiennent la désactivation du plugin

    Oracle a publié un correctif d’urgence pour la faille de sécurité dans Java, activement exploitée par les pirates.

    La mise à jour Java 7 Update 11 apporte des correctifs pour les vulnérabilités étiquetées CVE-2013-0422 et CVE-2012-3174.

    La faille CVE-2013-0422, dont le code des instructions permettant de l’exploiter a déjà été implémenté dans deux kits de piratage, permet après la visite d’un site web compromis, d’exécuter du code arbitraire à distance et d'installer des applications malveillantes sur le poste d’un utilisateur.

    La vulnérabilité CVE-2012-3174, quant à elle, peut également être exploitée à distance via le plugin Java s’exécutant dans le navigateur, en incitant les utilisateurs à naviguer sur un site Web malveillant.

    Java 7u11 modifie également la politique de sécurité par défaut du plugin Java, de sorte que dorénavant, les applets non signés devraient toujours générer un message d’avertissement à l’utilisateur avant d’être exécutés.

    Oracle recommande l’application immédiate de cette mise à jour. La société estime également que les utilisateurs ayant désactivé le plugin Java peuvent l’activer à nouveau.

    Sauf que, les experts en sécurité, presque à l’unanimité, suggèrent de maintenir le plugin Java bloqué. « C’est bien qu’Oracle ait fixé cette vulnérabilité rapidement », écrit l’expert en sécurité Brian Krebs dans un billet de blog. « Mais, je vais continuer à conseiller aux utilisateurs de désactiver Java s’ils ne l’utilisent pas ».

    HB Moore, le créateur du kit de piratage Metasploit, estime qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.

    Il est clair qu'Oracle devra attendre longtemps avant de restaurer la confiance secouée en la fiabilité du plug-in Java.

    Télécharger Java 7 Update 11

    Source : Oracle, Reuters, Krebs On Security
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  18. #18
    Membre éprouvé

    Homme Profil pro
    Chef de projet MOA
    Inscrit en
    Janvier 2006
    Messages
    621
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 57
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Chef de projet MOA

    Informations forums :
    Inscription : Janvier 2006
    Messages : 621
    Points : 1 264
    Points
    1 264
    Par défaut
    Tout ceci illustre une constante en technologie : plus on permet à un système de faire des tâches différentes et complexes, plus on génère soi mpeme les futurs problèmes de sécurité et/ou de fiabilité. Ca s'applique aux voitures dont le freinage est piloté par un ordinateur, aux avions dont la vitesse est régulée par une sonde qui peut congeler, aux régrigérateurs pilotés par CI, aux chauffages pilotés par thermostat radio et j'en passe...

    Après, en phase 2, il y a la comm... Et là, on se met à la merci d'une bonne campagne de pub qui est capable de dégommer un produit. Et puis une faille de sécurité "Critique" c'est quoi ?
    "L'incohérence de ceux qui dirigent et l'incompétence de ceux qui critiquent sont un vibrant hommage à ceux qui exécutent."
    Général George S. PATTON. Messine 1943.

  19. #19
    Nouveau Candidat au Club
    Homme Profil pro
    Enseignant
    Inscrit en
    Juillet 2012
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : Juillet 2012
    Messages : 10
    Points : 0
    Points
    0
    Par défaut Encore une !
    Bonjour le fofo
    Le souci avec ce plug-in, c'est que les failles réapparaissent aussi vite qu'elles sont comblées...

    Bravo aux pirates dans cette affaire, non pas pour leur intention, mais plutôt pour leurs compétences.

    Oracle va devoir embaucher quelques uns d'entre eux...

  20. #20
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 481
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 481
    Points : 48 806
    Points
    48 806
    Par défaut
    Le security manager est pourri dans Oracle, depuis des années, depuis le début de java en fait, on distribue la même jvm pour exécute du code sur le desktop que pour exécuter du code sur le browser. Ce qu'il faudrait, ce serait un code séparé pour les applet qui n'aurait pas accès au système, non pas parce que le security manager l'en empeche, mais parce que les classes indispensable pour ouvrir les fichiers / exécuter des applications tierces / charger des librairies tierces n'existeraient pas.

    Mais ça veux dire casser pas mal d'applets existantes en entreprise

Discussions similaires

  1. Faille de sécurité critique dans Java 7 Update 6
    Par Hinault Romaric dans le forum Général Java
    Réponses: 89
    Dernier message: 11/01/2013, 13h24
  2. Découverte d’une faille de sécurité critique dans iOS
    Par Hinault Romaric dans le forum Apple
    Réponses: 3
    Dernier message: 16/11/2011, 19h17
  3. Faille de sécurité critique dans le navigateur Opera
    Par Hinault Romaric dans le forum Opera
    Réponses: 6
    Dernier message: 21/10/2011, 14h52
  4. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 12h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo