+ Répondre à la discussion Actualité déjà publiée
Page 1 sur 6 12345 ... DernièreDernière
Affichage des résultats 1 à 20 sur 115
  1. #1
    Responsable Actualités

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 016
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 016
    Points : 60 028
    Points
    60 028

    Par défaut Faille de sécurité critique dans Java 7 activement exploitée

    Faille de sécurité critique dans Java 7 activement exploitée
    pouvant être utilisée pour installer des malwares


    Une nouvelle faille de sécurité vient d’être découverte par des chercheurs en sécurité dans la plateforme de développement Java.

    Selon l’alerte de sécurité publiée par le groupe US-CERT (cellule américaine de sécurité informatique), la vulnérabilité concerne la dernière mise à jour Java 7 Update 10 et la mise à jour Java 7 Update 9 (versions qui ont été testées pour l’instant).

    La faille peut être exploitée par un pirate après la visite d’un site Web compromis pour exécuter du code arbitraire à distance et installer des applications malveillantes sur le poste d’un utilisateur.

    Les risques liés à cette faille sont assez élevés, dans la mesure où le code d’exploit a déjà été divulgué publiquement. Le kit de piratage BlackHole intègre une copie du code des instructions permettant d’exploiter la faille.

    Pour l’instant, Oracle n’a encore fait aucun commentaire sur cette nouvelle faille. Les experts en sécurité conseillent de désactiver le plug-in Java dans le navigateur tant qu’un correctif n’a pas été publié.

    Pour les utilisateurs de Java 7u10, ils pourront dans le panneau de configuration désactiver les applications Java qui s’exécutent dans le navigateur et définir un niveau de sécurité pour les applets non signés, les applications Java Web Start et les solutions embarquées JavaFX qui s’exécutent dans le navigateur.


    Source : US-CERT


    Et vous ?

    Que pensez-vous de cette faille ?
    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog Mes articles
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre régulier
    Homme Profil pro
    Développeur Web
    Inscrit en
    janvier 2010
    Messages
    55
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Guinée

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : janvier 2010
    Messages : 55
    Points : 86
    Points
    86

    Par défaut

    Avec tout le temps de nouvelles failles de sécurité je me demande comment oracle pourra confirmer son fameux javaFX qui souffre déjà d'une mauvaise réputation due au ancienne version.

  3. #3
    Membre expérimenté Avatar de CHbox
    Homme Profil pro
    Développeur .NET
    Inscrit en
    août 2011
    Messages
    110
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2011
    Messages : 110
    Points : 592
    Points
    592

    Par défaut

    J'en pense que de toute manière je n'ai pas réactivé mon plugin Java depuis très longtemps et que je vais continuer comme ça...

  4. #4
    Membre régulier Avatar de ValCapri
    Homme Profil pro
    En formation chez Technifutur pour me spécialisé dans le dev mobile
    Inscrit en
    mars 2010
    Messages
    43
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : Belgique

    Informations professionnelles :
    Activité : En formation chez Technifutur pour me spécialisé dans le dev mobile

    Informations forums :
    Inscription : mars 2010
    Messages : 43
    Points : 75
    Points
    75

    Par défaut

    Je vais finir par penser qu'Apple avait raison de ne plus installer Java dans OS X par défaut ou désactiver les plugins Java.

    Cela commence a faire beaucoup de failles pour le plug-in Java.

    J'adore Java mais pas pour des Applets ou JavaFX. Je préfères les JSF, GWT et autres qui génèrent de l'HTML5, JS et CSS.

  5. #5
    Invité de passage Avatar de mascoco
    Inscrit en
    octobre 2006
    Messages
    65
    Détails du profil
    Informations forums :
    Inscription : octobre 2006
    Messages : 65
    Points : 4
    Points
    4

    Par défaut Oracle la poisse

    que des soucis de sécurité depuis le rachat de SUN par Oracle
    --
    The Opening of the source helps humanity

  6. #6
    Membre Expert Avatar de Squisqui
    Inscrit en
    décembre 2010
    Messages
    370
    Détails du profil
    Informations forums :
    Inscription : décembre 2010
    Messages : 370
    Points : 1 048
    Points
    1 048

    Par défaut

    Citation Envoyé par mascoco Voir le message
    que des soucis de sécurité depuis le rachat de SUN par Oracle
    Et encore... habituellement, la faille est suivie jusqu'à SE6 du temps de Sun, donc des failles qui ont peut-être toujours été là.

  7. #7
    Membre confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    août 2011
    Messages
    171
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Algérie

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : août 2011
    Messages : 171
    Points : 228
    Points
    228

    Par défaut

    Non mais ça c'est pas une faille, c'est un gouffre

  8. #8
    Expert Confirmé
    Avatar de olivier.pitton
    Homme Profil pro
    Développeur Java
    Inscrit en
    juin 2012
    Messages
    355
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juin 2012
    Messages : 355
    Points : 2 844
    Points
    2 844

    Par défaut

    Je ne pense pas que le réel problème vienne de Java, mais simplement de la façon dont on annonce la news, si je puis dire.

    Une news disant : "Faille de sécurité critique", on a tendance à penser que le logiciel derrière n'est pas si vérifié et sur que cela.

    Une news disant : "Nouvelle version de Chrome..." avec plein de fonctionnalités / supports et une petite ligne pour "Chrome 24 apporte des correctifs pour 24 failles de sécurité" (cf: ici), on a tendance à penser que le logiciel est sur et robuste. Jusqu'à la news sur la prochaine version qui corrigera 10 failles dont 2 critiques.

    Quoiqu'il en soit, j'espère qu'Oracle la corrigera vite afin d'éviter de plomber l'image de Java.

  9. #9
    Rédacteur/Modérateur
    Avatar de Laurent.B
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    novembre 2004
    Messages
    3 290
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2004
    Messages : 3 290
    Points : 16 867
    Points
    16 867

    Par défaut

    Citation Envoyé par olivier.pitton Voir le message
    Je ne pense pas que le réel problème vienne de Java, mais simplement de la façon dont on annonce la news, si je puis dire.
    La façon dont est annoncée la news traduit simplement le fait, à mon sens, que l'on aimerait bien qu'Oracle prenne ce genre de problème au sérieux et réagisse plus vite que ce qu'ils ne l'ont fait jusqu'à maintenant...

    Car même si pour beaucoup je pense, on se passe en général aisément du plug-in Java dans le navigateur (personnellement il est assez rare que j'en ai besoin, ah si pour les impôts tiens), ceux qui en ont besoin plus régulièrement doivent être agacés (si tant est qu'ils connaissent l'existence du problème), d'avoir à l'activer ou le désactiver, selon les sites qu'ils visitent. Et pour ceux qui ignoreraient l'existence du problème c'est encore pire. Donc, oui, je pense qu'il y a matière à être volontairement alarmiste, tu ne crois pas ? Ca ne donne pas forcément une bonne image au produit concerné, c'est sûr, mais si ça peut contribuer à faire bouger les choses rapidement, dans ce genre de cas, je dirais que c'est un moindre mal.
    Responsable FAQ Eclipse | Maintiens et développe un des logiciels destinés aux rédacteurs sur developpez.com
    Gardons toujours à l'esprit que le forum constitue une base documentaire dont il nous faut prendre soin en l'alimentant soigneusement, par nos questions et nos réponses. Soyons polis, précis (dans le titre et dans le corps des questions), concis, constructifs et faisons de notre mieux pour respecter la langue française et sa grammaire. Merci pour nous (les modérateurs) mais aussi et surtout, merci pour vous.
    Problème solutionné => je vais au bas de la page et je clique sur le bouton (qui suite à mise à jour du forum, a légèrement changé d'aspect).

  10. #10
    Invité de passage
    Inscrit en
    août 2009
    Messages
    2
    Détails du profil
    Informations forums :
    Inscription : août 2009
    Messages : 2
    Points : 2
    Points
    2

    Par défaut Linux

    Est ce que le risque existe pour les utilisateur linux aussi?

  11. #11
    Membre émérite
    Avatar de Enerian
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2011
    Messages
    230
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : août 2011
    Messages : 230
    Points : 876
    Points
    876

    Par défaut

    Citation Envoyé par amine_dev Voir le message
    Est ce que le risque existe pour les utilisateur linux aussi?
    Je ne vois pas pourquoi linux serait épargné. La faille est exploitée par le biais des plugins Java installés sur les navigateurs web. Si tu as ce type de plugin, il est recommandé de le(s) désactiver.

    Après, c'est une question d'impact. De par la gestion des droits des systèmes linux, un code malveillant exploitant la faille n'aura pas un rayon d'action illimité. Mais ce n'est pas une raison pour se croire à l'abris. Il reste possible de voler ou détruire certaines données / préférences, voire d'utiliser cette faille pour en exploiter une autre au niveau de l'os.

    Donc à mon avis, désactive tes plugins Java, quelque soit l'os que tu utilises.

  12. #12
    Expert Confirmé
    Homme Profil pro
    Développeur java, access, sql server
    Inscrit en
    octobre 2005
    Messages
    1 740
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur java, access, sql server
    Secteur : Industrie

    Informations forums :
    Inscription : octobre 2005
    Messages : 1 740
    Points : 3 060
    Points
    3 060

    Par défaut

    Citation Envoyé par Laurent.B Voir le message
    ... on se passe en général aisément du plug-in Java dans le navigateur (personnellement il est assez rare que j'en ai besoin, ah si pour les impôts tiens), ceux qui en ont besoin plus régulièrement doivent être agacés (si tant est qu'ils connaissent l'existence du problème), d'avoir à l'activer ou le désactiver, selon les sites qu'ils visitent ...
    On pourrait imaginer que lorsqu'on visite un site "de confiance" (les impôts)
    on l'ajoute d'un clic dans une liste de sites autorisés à utiliser java ou acrobat reader ou flash etc.

    Cela reviendrait à demander à l'utilisateur d'activer les plug-in par rapport aux sites
    et non par rapport à la sécurité des plug-in.

    par la suite, quand une faille de sécurité est découverte, ça ne poserait plus ce problème de tout désactiver en catastrophe (faire le tour de tous les ordis de la boîte pour vérifier les navigateurs) !

    ce système existe déjà pour java web start.
    ·· −· −−· ·· ·−· ··− −− ·· −− ··− ··· −· −−− −·−· − ·
    · − −·−· −−− −· ··· ··− −− ·· −− ··− ·−· ·· −−· −· ··
    D'abord qu'il marche. Ensuite qu'il soit rapide. Enfin qu'il soit agréable à utiliser.
    First, make it work. Then, make it fast. Finally, make it user-friendly.
    Erst, mach', dass es funktioniert. Dann, mach', dass es schnell geht, Zum Schluss mach' es benutzerfreundlich.

  13. #13
    Rédacteur/Modérateur

    Avatar de bouye
    Homme Profil pro
    Développeur Java
    Inscrit en
    août 2005
    Messages
    4 574
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : Nouvelle-Calédonie

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : août 2005
    Messages : 4 574
    Points : 13 260
    Points
    13 260
    Billets dans le blog
    1

    Par défaut

    Publication de Java 1.7.0_11

    Citation Envoyé par http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html
    This release contains fixes for security vulnerabilities. For more information, see Oracle Security Alert for CVE-2013-0422.
    Merci de penser au tag quand une réponse a été apportée à votre question. Aucune réponse ne sera donnée à des messages privés portant sur des questions d'ordre technique. Les forums sont là pour que vous y postiez publiquement vos problèmes.

    suivez mon blog sur Développez.

    Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the universe trying to produce bigger and better idiots. So far, the universe is winning. ~ Rich Cook

  14. #14
    Responsable Modération

    Avatar de ok.Idriss
    Homme Profil pro
    Consultant en SSII et ingénieur CNAM Paris (spécialité SI)
    Inscrit en
    février 2009
    Messages
    5 059
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Consultant en SSII et ingénieur CNAM Paris (spécialité SI)
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2009
    Messages : 5 059
    Points : 17 534
    Points
    17 534

    Par défaut

    Un certain nombre de messages ont été modérés suite à une intervention ayant fait dévier le sujet de la discussion. Merci de revenir au sujet initial.
    mes cours sur DVP | initiation aux bases de données relationnelles | FAQ Linux | FAQ tests
    la programmation Shell | bonnes pratiques Bash | exercices shells scripts & Bash corrigés
    Merci aussi de lire les règles du club

    "Forgiveness does not change the past, but it does enlarge the future." (Paul Boese)
    Traduction approximative : le pardon ne change pas le passé mais élargit l'horizon de l'avenir.

  15. #15
    Membre émérite
    Avatar de Enerian
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2011
    Messages
    230
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 24
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : août 2011
    Messages : 230
    Points : 876
    Points
    876

    Par défaut

    Citation Envoyé par bouye Voir le message
    Publication de Java 1.7.0_11
    Apparemment, le correctif ne corrige pas tout, loin s'en faut.

    Citation Envoyé par Adam Gowdiak de Security Explorations
    Nous ne pouvons affirmer aux utilisateurs qu’il est de nouveau sûr d’autoriser Java. [...] Java est un désordre. Il n’est pas sécurisé. Vous devez le désactiver.
    Citation Envoyé par HD Moore créateur de Metasploit et chercheur en sécurité pour Rapid7
    La chose la plus sûre à ce stade est de considérer que Java restera toujours vulnérable. Les gens n’ont pas réellement besoin de Java sur leur poste de travail.

  16. #16
    Expert Confirmé Sénior
    Avatar de tchize_
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    avril 2007
    Messages
    21 884
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : Belgique

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : Service public

    Informations forums :
    Inscription : avril 2007
    Messages : 21 884
    Points : 41 473
    Points
    41 473

    Par défaut

    La chose la plus sûre à ce stade est de considérer que Java restera toujours vulnérable. Les gens n’ont pas réellement besoin de Java sur leur poste de travail.
    Heuuu, je dirais plutot "dans leur browser", parce que là où je suis, on a quand même pas mal d'outils codé en java, modèle desktop application.

    Puis les employés doivent bien pouvoir faire tourner Azureus et Minecraft
    Tchize (Чиз) faq java, cours java, javadoc. Pensez à et

  17. #17
    Responsable Actualités

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    janvier 2007
    Messages
    4 016
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 4 016
    Points : 60 028
    Points
    60 028

    Par défaut

    Oracle publie un correctif d’urgence pour la faille zero-day dans Java
    les experts en sécurité, sceptiques, maintiennent la désactivation du plugin

    Oracle a publié un correctif d’urgence pour la faille de sécurité dans Java, activement exploitée par les pirates.

    La mise à jour Java 7 Update 11 apporte des correctifs pour les vulnérabilités étiquetées CVE-2013-0422 et CVE-2012-3174.

    La faille CVE-2013-0422, dont le code des instructions permettant de l’exploiter a déjà été implémenté dans deux kits de piratage, permet après la visite d’un site web compromis, d’exécuter du code arbitraire à distance et d'installer des applications malveillantes sur le poste d’un utilisateur.

    La vulnérabilité CVE-2012-3174, quant à elle, peut également être exploitée à distance via le plugin Java s’exécutant dans le navigateur, en incitant les utilisateurs à naviguer sur un site Web malveillant.

    Java 7u11 modifie également la politique de sécurité par défaut du plugin Java, de sorte que dorénavant, les applets non signés devraient toujours générer un message d’avertissement à l’utilisateur avant d’être exécutés.

    Oracle recommande l’application immédiate de cette mise à jour. La société estime également que les utilisateurs ayant désactivé le plugin Java peuvent l’activer à nouveau.

    Sauf que, les experts en sécurité, presque à l’unanimité, suggèrent de maintenir le plugin Java bloqué. « C’est bien qu’Oracle ait fixé cette vulnérabilité rapidement », écrit l’expert en sécurité Brian Krebs dans un billet de blog. « Mais, je vais continuer à conseiller aux utilisateurs de désactiver Java s’ils ne l’utilisent pas ».

    HB Moore, le créateur du kit de piratage Metasploit, estime qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.

    Il est clair qu'Oracle devra attendre longtemps avant de restaurer la confiance secouée en la fiabilité du plug-in Java.

    Télécharger Java 7 Update 11

    Source : Oracle, Reuters, Krebs On Security
    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog Mes articles
    En posant correctement votre problème, on trouve la moitié de la solution

  18. #18
    Membre Expert

    Homme Profil pro
    Chef de projet MOA
    Inscrit en
    janvier 2006
    Messages
    600
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Chef de projet MOA

    Informations forums :
    Inscription : janvier 2006
    Messages : 600
    Points : 1 178
    Points
    1 178

    Par défaut

    Tout ceci illustre une constante en technologie : plus on permet à un système de faire des tâches différentes et complexes, plus on génère soi mpeme les futurs problèmes de sécurité et/ou de fiabilité. Ca s'applique aux voitures dont le freinage est piloté par un ordinateur, aux avions dont la vitesse est régulée par une sonde qui peut congeler, aux régrigérateurs pilotés par CI, aux chauffages pilotés par thermostat radio et j'en passe...

    Après, en phase 2, il y a la comm... Et là, on se met à la merci d'une bonne campagne de pub qui est capable de dégommer un produit. Et puis une faille de sécurité "Critique" c'est quoi ?
    "L'incohérence de ceux qui dirigent et l'incompétence de ceux qui critiquent sont un vibrant hommage à ceux qui exécutent."
    Général George S. PATTON. Messine 1943.

  19. #19

    Homme Profil pro
    Enseignant
    Inscrit en
    juillet 2012
    Messages
    10
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : juillet 2012
    Messages : 10
    Points : -2
    Points
    -2

    Par défaut Encore une !

    Bonjour le fofo
    Le souci avec ce plug-in, c'est que les failles réapparaissent aussi vite qu'elles sont comblées...

    Bravo aux pirates dans cette affaire, non pas pour leur intention, mais plutôt pour leurs compétences.

    Oracle va devoir embaucher quelques uns d'entre eux...

  20. #20
    Expert Confirmé Sénior
    Avatar de tchize_
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    avril 2007
    Messages
    21 884
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : Belgique

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : Service public

    Informations forums :
    Inscription : avril 2007
    Messages : 21 884
    Points : 41 473
    Points
    41 473

    Par défaut

    Le security manager est pourri dans Oracle, depuis des années, depuis le début de java en fait, on distribue la même jvm pour exécute du code sur le desktop que pour exécuter du code sur le browser. Ce qu'il faudrait, ce serait un code séparé pour les applet qui n'aurait pas accès au système, non pas parce que le security manager l'en empeche, mais parce que les classes indispensable pour ouvrir les fichiers / exécuter des applications tierces / charger des librairies tierces n'existeraient pas.

    Mais ça veux dire casser pas mal d'applets existantes en entreprise
    Tchize (Чиз) faq java, cours java, javadoc. Pensez à et

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •