Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Responsable .NET

    Faille de sécurité critique dans Java 7 activement exploitée
    Faille de sécurité critique dans Java 7 activement exploitée
    pouvant être utilisée pour installer des malwares


    Une nouvelle faille de sécurité vient d’être découverte par des chercheurs en sécurité dans la plateforme de développement Java.

    Selon l’alerte de sécurité publiée par le groupe US-CERT (cellule américaine de sécurité informatique), la vulnérabilité concerne la dernière mise à jour Java 7 Update 10 et la mise à jour Java 7 Update 9 (versions qui ont été testées pour l’instant).

    La faille peut être exploitée par un pirate après la visite d’un site Web compromis pour exécuter du code arbitraire à distance et installer des applications malveillantes sur le poste d’un utilisateur.

    Les risques liés à cette faille sont assez élevés, dans la mesure où le code d’exploit a déjà été divulgué publiquement. Le kit de piratage BlackHole intègre une copie du code des instructions permettant d’exploiter la faille.

    Pour l’instant, Oracle n’a encore fait aucun commentaire sur cette nouvelle faille. Les experts en sécurité conseillent de désactiver le plug-in Java dans le navigateur tant qu’un correctif n’a pas été publié.

    Pour les utilisateurs de Java 7u10, ils pourront dans le panneau de configuration désactiver les applications Java qui s’exécutent dans le navigateur et définir un niveau de sécurité pour les applets non signés, les applications Java Web Start et les solutions embarquées JavaFX qui s’exécutent dans le navigateur.


    Source : US-CERT


    Et vous ?

    Que pensez-vous de cette faille ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre régulier
    Avec tout le temps de nouvelles failles de sécurité je me demande comment oracle pourra confirmer son fameux javaFX qui souffre déjà d'une mauvaise réputation due au ancienne version.

  3. #3
    Membre confirmé
    J'en pense que de toute manière je n'ai pas réactivé mon plugin Java depuis très longtemps et que je vais continuer comme ça...

  4. #4
    Membre régulier
    Je vais finir par penser qu'Apple avait raison de ne plus installer Java dans OS X par défaut ou désactiver les plugins Java.

    Cela commence a faire beaucoup de failles pour le plug-in Java.

    J'adore Java mais pas pour des Applets ou JavaFX. Je préfères les JSF, GWT et autres qui génèrent de l'HTML5, JS et CSS.

  5. #5
    Membre à l'essai
    Oracle la poisse
    que des soucis de sécurité depuis le rachat de SUN par Oracle
    --
    The Opening of the source helps humanity

  6. #6
    En attente de confirmation mail
    Citation Envoyé par mascoco Voir le message
    que des soucis de sécurité depuis le rachat de SUN par Oracle
    Et encore... habituellement, la faille est suivie jusqu'à SE6 du temps de Sun, donc des failles qui ont peut-être toujours été là.

  7. #7
    Membre confirmé
    Non mais ça c'est pas une faille, c'est un gouffre

  8. #8
    Membre émérite
    Je ne pense pas que le réel problème vienne de Java, mais simplement de la façon dont on annonce la news, si je puis dire.

    Une news disant : "Faille de sécurité critique", on a tendance à penser que le logiciel derrière n'est pas si vérifié et sur que cela.

    Une news disant : "Nouvelle version de Chrome..." avec plein de fonctionnalités / supports et une petite ligne pour "Chrome 24 apporte des correctifs pour 24 failles de sécurité" (cf: ici), on a tendance à penser que le logiciel est sur et robuste. Jusqu'à la news sur la prochaine version qui corrigera 10 failles dont 2 critiques.

    Quoiqu'il en soit, j'espère qu'Oracle la corrigera vite afin d'éviter de plomber l'image de Java.

  9. #9
    Rédacteur/Modérateur

    Citation Envoyé par olivier.pitton Voir le message
    Je ne pense pas que le réel problème vienne de Java, mais simplement de la façon dont on annonce la news, si je puis dire.
    La façon dont est annoncée la news traduit simplement le fait, à mon sens, que l'on aimerait bien qu'Oracle prenne ce genre de problème au sérieux et réagisse plus vite que ce qu'ils ne l'ont fait jusqu'à maintenant...

    Car même si pour beaucoup je pense, on se passe en général aisément du plug-in Java dans le navigateur (personnellement il est assez rare que j'en ai besoin, ah si pour les impôts tiens), ceux qui en ont besoin plus régulièrement doivent être agacés (si tant est qu'ils connaissent l'existence du problème), d'avoir à l'activer ou le désactiver, selon les sites qu'ils visitent. Et pour ceux qui ignoreraient l'existence du problème c'est encore pire. Donc, oui, je pense qu'il y a matière à être volontairement alarmiste, tu ne crois pas ? Ca ne donne pas forcément une bonne image au produit concerné, c'est sûr, mais si ça peut contribuer à faire bouger les choses rapidement, dans ce genre de cas, je dirais que c'est un moindre mal.
    Responsable FAQ Eclipse | Maintiens et développe un des logiciels destinés aux rédacteurs sur developpez.com
    Gardons toujours à l'esprit que le forum constitue une base documentaire, dont l'utilité et la qualité dépendent du soin apporté à nos questions et nos réponses. Soyons polis, précis (dans le titre et dans le corps des questions), concis, constructifs et faisons de notre mieux pour respecter la langue française et sa grammaire. Merci pour nous (les modérateurs) mais aussi et surtout, merci pour vous.
    Problème solutionné => je vais au bas de la page et je clique sur le bouton (qui suite à mise à jour du forum, a légèrement changé d'aspect).

  10. #10
    Candidat au Club
    Linux
    Est ce que le risque existe pour les utilisateur linux aussi?

  11. #11
    Membre éclairé
    Citation Envoyé par amine_dev Voir le message
    Est ce que le risque existe pour les utilisateur linux aussi?
    Je ne vois pas pourquoi linux serait épargné. La faille est exploitée par le biais des plugins Java installés sur les navigateurs web. Si tu as ce type de plugin, il est recommandé de le(s) désactiver.

    Après, c'est une question d'impact. De par la gestion des droits des systèmes linux, un code malveillant exploitant la faille n'aura pas un rayon d'action illimité. Mais ce n'est pas une raison pour se croire à l'abris. Il reste possible de voler ou détruire certaines données / préférences, voire d'utiliser cette faille pour en exploiter une autre au niveau de l'os.

    Donc à mon avis, désactive tes plugins Java, quelque soit l'os que tu utilises.

  12. #12
    Modérateur

    Citation Envoyé par Laurent.B Voir le message
    ... on se passe en général aisément du plug-in Java dans le navigateur (personnellement il est assez rare que j'en ai besoin, ah si pour les impôts tiens), ceux qui en ont besoin plus régulièrement doivent être agacés (si tant est qu'ils connaissent l'existence du problème), d'avoir à l'activer ou le désactiver, selon les sites qu'ils visitent ...
    On pourrait imaginer que lorsqu'on visite un site "de confiance" (les impôts)
    on l'ajoute d'un clic dans une liste de sites autorisés à utiliser java ou acrobat reader ou flash etc.

    Cela reviendrait à demander à l'utilisateur d'activer les plug-in par rapport aux sites
    et non par rapport à la sécurité des plug-in.

    par la suite, quand une faille de sécurité est découverte, ça ne poserait plus ce problème de tout désactiver en catastrophe (faire le tour de tous les ordis de la boîte pour vérifier les navigateurs) !

    ce système existe déjà pour java web start.
    Labor improbus omnia vincit un travail acharné vient à bout de tout - Ambroise Paré (1510-1590)

    Consulter sans modération la FAQ ainsi que les bons ouvrages : http://jmdoudoux.developpez.com/cour...eloppons/java/

  13. #13
    Rédacteur/Modérateur

    Publication de Java 1.7.0_11

    Citation Envoyé par http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html
    This release contains fixes for security vulnerabilities. For more information, see Oracle Security Alert for CVE-2013-0422.
    Merci de penser au tag quand une réponse a été apportée à votre question. Aucune réponse ne sera donnée à des messages privés portant sur des questions d'ordre technique. Les forums sont là pour que vous y postiez publiquement vos problèmes.

    suivez mon blog sur Développez.

    Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the universe trying to produce bigger and better idiots. So far, the universe is winning. ~ Rich Cook

  14. #14
    Rédacteur

    Un certain nombre de messages ont été modérés suite à une intervention ayant fait dévier le sujet de la discussion. Merci de revenir au sujet initial.

  15. #15
    Membre éclairé
    Citation Envoyé par bouye Voir le message
    Publication de Java 1.7.0_11
    Apparemment, le correctif ne corrige pas tout, loin s'en faut.

    Citation Envoyé par Adam Gowdiak de Security Explorations
    Nous ne pouvons affirmer aux utilisateurs qu’il est de nouveau sûr d’autoriser Java. [...] Java est un désordre. Il n’est pas sécurisé. Vous devez le désactiver.
    Citation Envoyé par HD Moore créateur de Metasploit et chercheur en sécurité pour Rapid7
    La chose la plus sûre à ce stade est de considérer que Java restera toujours vulnérable. Les gens n’ont pas réellement besoin de Java sur leur poste de travail.

  16. #16
    Expert éminent sénior
    La chose la plus sûre à ce stade est de considérer que Java restera toujours vulnérable. Les gens n’ont pas réellement besoin de Java sur leur poste de travail.
    Heuuu, je dirais plutot "dans leur browser", parce que là où je suis, on a quand même pas mal d'outils codé en java, modèle desktop application.

    Puis les employés doivent bien pouvoir faire tourner Azureus et Minecraft
    David Delbecq Java developer chez HMS Industrial Networks AB.    LinkedIn | Google+

  17. #17
    Responsable .NET

    Oracle publie un correctif d’urgence pour la faille zero-day dans Java
    les experts en sécurité, sceptiques, maintiennent la désactivation du plugin

    Oracle a publié un correctif d’urgence pour la faille de sécurité dans Java, activement exploitée par les pirates.

    La mise à jour Java 7 Update 11 apporte des correctifs pour les vulnérabilités étiquetées CVE-2013-0422 et CVE-2012-3174.

    La faille CVE-2013-0422, dont le code des instructions permettant de l’exploiter a déjà été implémenté dans deux kits de piratage, permet après la visite d’un site web compromis, d’exécuter du code arbitraire à distance et d'installer des applications malveillantes sur le poste d’un utilisateur.

    La vulnérabilité CVE-2012-3174, quant à elle, peut également être exploitée à distance via le plugin Java s’exécutant dans le navigateur, en incitant les utilisateurs à naviguer sur un site Web malveillant.

    Java 7u11 modifie également la politique de sécurité par défaut du plugin Java, de sorte que dorénavant, les applets non signés devraient toujours générer un message d’avertissement à l’utilisateur avant d’être exécutés.

    Oracle recommande l’application immédiate de cette mise à jour. La société estime également que les utilisateurs ayant désactivé le plugin Java peuvent l’activer à nouveau.

    Sauf que, les experts en sécurité, presque à l’unanimité, suggèrent de maintenir le plugin Java bloqué. « C’est bien qu’Oracle ait fixé cette vulnérabilité rapidement », écrit l’expert en sécurité Brian Krebs dans un billet de blog. « Mais, je vais continuer à conseiller aux utilisateurs de désactiver Java s’ils ne l’utilisent pas ».

    HB Moore, le créateur du kit de piratage Metasploit, estime qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.

    Il est clair qu'Oracle devra attendre longtemps avant de restaurer la confiance secouée en la fiabilité du plug-in Java.

    Télécharger Java 7 Update 11

    Source : Oracle, Reuters, Krebs On Security
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  18. #18
    Membre éprouvé
    Tout ceci illustre une constante en technologie : plus on permet à un système de faire des tâches différentes et complexes, plus on génère soi mpeme les futurs problèmes de sécurité et/ou de fiabilité. Ca s'applique aux voitures dont le freinage est piloté par un ordinateur, aux avions dont la vitesse est régulée par une sonde qui peut congeler, aux régrigérateurs pilotés par CI, aux chauffages pilotés par thermostat radio et j'en passe...

    Après, en phase 2, il y a la comm... Et là, on se met à la merci d'une bonne campagne de pub qui est capable de dégommer un produit. Et puis une faille de sécurité "Critique" c'est quoi ?
    "L'incohérence de ceux qui dirigent et l'incompétence de ceux qui critiquent sont un vibrant hommage à ceux qui exécutent."
    Général George S. PATTON. Messine 1943.

  19. #19
    Nouveau Candidat au Club
    Encore une !
    Bonjour le fofo
    Le souci avec ce plug-in, c'est que les failles réapparaissent aussi vite qu'elles sont comblées...

    Bravo aux pirates dans cette affaire, non pas pour leur intention, mais plutôt pour leurs compétences.

    Oracle va devoir embaucher quelques uns d'entre eux...

  20. #20
    Expert éminent sénior
    Le security manager est pourri dans Oracle, depuis des années, depuis le début de java en fait, on distribue la même jvm pour exécute du code sur le desktop que pour exécuter du code sur le browser. Ce qu'il faudrait, ce serait un code séparé pour les applet qui n'aurait pas accès au système, non pas parce que le security manager l'en empeche, mais parce que les classes indispensable pour ouvrir les fichiers / exécuter des applications tierces / charger des librairies tierces n'existeraient pas.

    Mais ça veux dire casser pas mal d'applets existantes en entreprise
    David Delbecq Java developer chez HMS Industrial Networks AB.    LinkedIn | Google+

###raw>template_hook.ano_emploi###