IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Java Discussion :

Faille de sécurité critique dans Java 7 activement exploitée


Sujet :

Java

  1. #101
    Inactif  


    Homme Profil pro
    Inscrit en
    novembre 2008
    Messages
    5 295
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Secteur : Santé

    Informations forums :
    Inscription : novembre 2008
    Messages : 5 295
    Points : 15 633
    Points
    15 633
    Par défaut
    Tiens, il faudrait que je vérifie sur l'ordi du boulot avec Windows 2000 la version du JRE... La dernière version est compatible Windows 2000 ? (bon, d'un autre côté, j'ai pas les droits admin dessus, je pourrais pas faire la mise à jour)

  2. #102
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2007
    Messages
    25 481
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2007
    Messages : 25 481
    Points : 48 820
    Points
    48 820
    Par défaut
    Citation Envoyé par gouessej Voir le message
    Cela sera un obstacle de plus pour les développeurs de jeux vidéo indépendants qui n'ont pas nécessairement les moyens de payer plusieurs centaines de dollars par an pour un certificat dit de confiance.
    Si c'est une applet -> T'as intérêt à avoir une bonne raison de demander à sortir de la sandbox. Si ton problème est le stockage (parties sauvées), direction jnlp, qui fourni une api d'accès aux fichiers sécurisées ne nécessitant pas de signature (tu n'a accès qu'au fichiers appartenant à ton application en fait)
    Si c'est une application indépendante -> Ben c'est comme tout les reste des jeux que t'installe sur ta machine, t'as pas besoin de certificats pour ça

    Quand à l'argument de prix pour le développeur indépendant: Je suis désolé, mais si le développement de jeu java est ton core buisness, tu met les moyens pour faire fonctionner ton buisness: Lacher 160€ par an, c'est rien en frais de toutes façons à coté de la bécane à 700€, de l'hébergement sur serveur dédié à 30€ / mois, de l'adsl à 30€/ mois

    Et si vraiment tu continue à trouver ça trop cher, tu te trouve 3 autres auteurs d'apps dans le même état que toi et vous faites une association qui achète ce certificat ensemble.

  3. #103
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2007
    Messages
    25 481
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2007
    Messages : 25 481
    Points : 48 820
    Points
    48 820
    Par défaut
    Citation Envoyé par gbdivers Voir le message
    La dernière version est compatible Windows 2000 ?
    Perdu!

    Fallait investir dans du solaris

    Maintenant, ce sont les version "supportées des OS", pour les autres => faut essayer ^^

  4. #104
    Expert confirmé Avatar de fregolo52
    Homme Profil pro
    Développeur C
    Inscrit en
    août 2004
    Messages
    2 364
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur C

    Informations forums :
    Inscription : août 2004
    Messages : 2 364
    Points : 5 286
    Points
    5 286
    Par défaut
    Je ne vois pas la version 1.5 dans le camembert!

    Le pire que j'ai vu c'est des applis Orable Forms avec jinitiator (donc JRE 1.3 like) sous XP SP2.

    Ca fait peur ! Et si je vous dis que c'est la Police d'un pays qui a cette config, c'est inquiétant, non ? ,

    Ah oui, j'ai oublié de dire quand : il y a 2ans. Donc, aujourd'hui rien n'a dû changer.

  5. #105
    Membre éprouvé

    Homme Profil pro
    Architecte technique
    Inscrit en
    juin 2005
    Messages
    588
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Architecte technique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juin 2005
    Messages : 588
    Points : 1 227
    Points
    1 227
    Par défaut
    Citation Envoyé par fregolo52 Voir le message
    Le pire que j'ai vu c'est des applis Orable Forms avec jinitiator (donc JRE 1.3 like) sous XP SP2.
    Sauf erreur, jinitiator ne se substitue pas à la JRE... elle n'exécute donc pas du code venant de l'Internet (applet) ! Ce qui devrait te rassurer ;-)

    a+
    Philippe

  6. #106
    Expert confirmé
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    février 2005
    Messages
    3 430
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : février 2005
    Messages : 3 430
    Points : 5 771
    Points
    5 771
    Par défaut
    Depuis que je l'ai désinstallé, je me suis jamais retrouvé dans une situation ou je devais l'installer pour utiliser une quelconque application ou accéder à une fonctionnalité d'un site. D'un coté, je m'aventure pas loin coté internet. Mais je viens de me rendre compte que je pouvais m'en passer et que je suis pas emmerdé par ces mise à jour à répétition. La question se pose. Est-ce que l'utilisateur lambda a vraiment besoin d'une JVM pour aller sur Web ?
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

  7. #107
    Membre éprouvé

    Homme Profil pro
    Architecte technique
    Inscrit en
    juin 2005
    Messages
    588
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Architecte technique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juin 2005
    Messages : 588
    Points : 1 227
    Points
    1 227
    Par défaut
    Citation Envoyé par berceker united Voir le message
    Depuis que je l'ai désinstallé, je me suis jamais retrouvé dans une situation ou je devais l'installer pour utiliser une quelconque application ou accéder à une fonctionnalité d'un site. D'un coté, je m'aventure pas loin coté internet. Mais je viens de me rendre compte que je pouvais m'en passer et que je suis pas emmerdé par ces mise à jour à répétition. La question se pose. Est-ce que l'utilisateur lambda a vraiment besoin d'une JVM pour aller sur Web ?
    Non ! Sauf, pour remplir sa feuille d'imposition

  8. #108
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2007
    Messages
    25 481
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2007
    Messages : 25 481
    Points : 48 820
    Points
    48 820
    Par défaut
    +1 pour le non, l'utilisateur lambda n'en a pas besoin. Je ne comprends d'ailleurs toujours pas pourquoi le plugin n'est pas distribué à part

  9. #109
    Expert éminent
    Avatar de _skip
    Homme Profil pro
    Développeur d'applications
    Inscrit en
    novembre 2005
    Messages
    2 898
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur d'applications
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : novembre 2005
    Messages : 2 898
    Points : 7 688
    Points
    7 688
    Par défaut
    Citation Envoyé par tchize_ Voir le message
    +1 pour le non, l'utilisateur lambda n'en a pas besoin. Je ne comprends d'ailleurs toujours pas pourquoi le plugin n'est pas distribué à part
    Sans doute que ça faisait partie d'une stratégie de promotion de java, la base d'un discours du style "70% des machines sont équipées".

    Maintenant dans les faits, à mon sens les applications JNLP ou les applets sont plus très intéressantes pour les gros sites tout public. Par contre pour certaines applications multi-utilisateurs en entreprise c'est intéressant. Et à ce moment là il serait effectivement envisageable de devoir installer un plug-ins et 2 ou 3 trucs à part. Quant à la sécurité? Si on écrit et consomme ses propres applications, pas trop de soucis...

  10. #110
    Expert confirmé
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    février 2005
    Messages
    3 430
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : février 2005
    Messages : 3 430
    Points : 5 771
    Points
    5 771
    Par défaut
    Citation Envoyé par Philippe Bastiani Voir le message
    Non ! Sauf, pour remplir sa feuille d'imposition
    En effet, galere parce que c'est pour bientôt.
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

  11. #111
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Inscrit en
    avril 2002
    Messages
    4 295
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations forums :
    Inscription : avril 2002
    Messages : 4 295
    Points : 12 930
    Points
    12 930
    Par défaut
    Il me semble bien que l'applet java n'est plus nécessaire depuis l'année dernière.

  12. #112
    Expert éminent sénior

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    mars 2013
    Messages
    426
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : mars 2013
    Messages : 426
    Points : 32 558
    Points
    32 558
    Par défaut
    Java 7 : découverte d’une faille de sécurité dans l’API Reflector
    permettant de contourner la sécurité Sandbox de la plateforme

    Cela fait à peine quelques jours qu’un patch de sécurité pour Java 7 (Java Update 21) a été publié par Oracle, qu’une nouvelle faille de sécurité a été découverte pour la plateforme.

    La faille concerne l’« API Reflector » et sa découverte a été réalisée par Adam Gowdiak, CEO de l’entreprise Security Exploration.

    La faille rend vulnérables les systèmes exécutant Java 7. Même ceux qui exécutent la toute récente version estampillée Java 1.7.0_21-b11 ne sont pas épargnés. Correctement exploitée, elle permet à un hacker d’outrepasser la sécurité « sandbox » de Java. Cependant, une action de l'utilisateur est requise dans un scénario web pour le succès d’une attaque initiée par un hacker.




    Le plus inquiétant encore, c’est que l’exploitation de la faille ne se limite pas uniquement à JDK 7. En effet, même la version serveur du JRE est concernée. Pour le comment de la chose, Adam Gowdiak donne une liste d’API et de composants rendant possible l’exécution de code arbitraire dans l’application serveur. C’est ainsi que nous avons : RMI et LDAP, l’implémentation de l’interpréteur XSLT de SUN, diverses implémentations SQL.

    Par ailleurs, on note que la faille avait déjà été reportée à Oracle l’année passée. Surpris que celle-ci soit de nouveau présente dans les produits Java, Adam Gowdiak conclut qu’Oracle s’est concentré sur le correctif des mesures de sécurité liées aux appels de fonction de l’« API Reflector ».

    Source : Seclist

  13. #113
    Membre éclairé Avatar de rt15
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2005
    Messages
    261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2005
    Messages : 261
    Points : 658
    Points
    658
    Par défaut
    Il faut que l'utilisateur accepte d'exécuter du code dangereux pour que cette "faille" soit exploitable.
    a user needs to accept the risk of executing a potentially malicious Java application when a security warning window is displayed
    Donc si l'utilisateur est assez bête pour ça il sera aussi suffisamment bête pour autoriser l'applet à nettoyer son disque dur (Ou surtout installer dieu sait quoi dessus).

    Bref, cette "faille" est assez anecdotique comparativement à celles qui sorte de la sandbox sans en demander l’autorisation à l'utilisateur (Et visiblement il y en a qui se donne à coeur joie).

  14. #114
    Expert confirmé
    Avatar de GLDavid
    Homme Profil pro
    Team & Project Manager
    Inscrit en
    janvier 2003
    Messages
    2 781
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Team & Project Manager
    Secteur : Industrie Pharmaceutique

    Informations forums :
    Inscription : janvier 2003
    Messages : 2 781
    Points : 4 223
    Points
    4 223
    Par défaut
    Bonjour

    Je vais peut être faire le nostalgique, la mauvaise langue ou le pinailleur...
    Mais il me semble que l'on parle beaucoup (trop ?) des failles de sécurité depuis l'ère Oracle de Java.
    Attention, je ne dis pas que ces problèmes n'existaient pas chez Sun, ils existent bel et bien.
    Serait-ce dû au fait que Java s'est installé dans à peu près toutes les niches possibles (dixit la propagande)? Ou est-ce dû au fait que maintenant que c'est Oracle qui "gère" Java, les gens seraient devenu plus méfiants?
    Au final, OpenJava ne serait-il pas une alternative crédible?

    @++
    GLDavid
    Consultez la FAQ Perl ainsi que mes cours de Perl.
    N'oubliez pas les balises code ni le tag

    Je ne répond à aucune question technique par MP.

  15. #115
    Membre éclairé Avatar de rt15
    Homme Profil pro
    Développeur informatique
    Inscrit en
    octobre 2005
    Messages
    261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : octobre 2005
    Messages : 261
    Points : 658
    Points
    658
    Par défaut
    A la base le problème est que si quelqu'un veut infecter un max d'utilisateur via une page web, il a surtout trois choix:
    javascript/html
    java
    flash

    Les failles "javascript/html" dépendent du navigateur.
    Flash semble assez béton, conçut à la base pour du rendu uniquement, donc bien sandboxé tôt.

    Reste java et sa jvm très compliqué, généraliste, très répandue, souvent pas très à jour.

    Donc pour infecter quelqu'un de passage sur une page web, chercher des failles dans java semble tout à fait indiqué.

    Que java soit plus ou moins open ou gérer par le saint père, ça ne changera pas énormément de chose au problème.
    La solution est que les navigateurs bloque plus les applet java, même ceux ne demandant pas de droits, et que les messages d'avertissements sur ceux demandant des droits fassent plus peur.

Discussions similaires

  1. Faille de sécurité critique dans Java 7 Update 6
    Par Hinault Romaric dans le forum Général Java
    Réponses: 89
    Dernier message: 11/01/2013, 12h24
  2. Découverte d’une faille de sécurité critique dans iOS
    Par Hinault Romaric dans le forum Apple
    Réponses: 3
    Dernier message: 16/11/2011, 18h17
  3. Faille de sécurité critique dans le navigateur Opera
    Par Hinault Romaric dans le forum Opera
    Réponses: 6
    Dernier message: 21/10/2011, 13h52
  4. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 11h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo