Faille de sécurité critique dans Java 7 activement exploitée

**bouye** · 03/02/2013, 00h35

Apparemment, selon ce site neo-zélandais (dont mon boss m'a fait parvenir l’adresse en urgence hier), Apple aurait pris des mesures draconiennes, à savoir bloquer l'exécution de la JVM 6 (la leur) et 7 (celle d'Oracle) via une maj sournoise des Mac connectés au net. Contrairement au blocage précédent qui ne concernait que les navigateur, ici il s'agit également de bloquer l’exécution d'applications.

Ce qui a semble-t-il provoqué des problèmes chez l'agence de presse The Associated Press. L'article est sensé être une copie de leur communiqué de presse et on peut désormais la trouver telle qu'elle un peu partout sur le net y compris Yahoo News, etc., cependant je ne la trouve pas sur leur site web.

Et je n'ai pas mon Mac Book Pro sous la main pour tester (il est resté au boulot ><).

**Gugelhupf** · 04/02/2013, 22h53

D'après un ami qui fait du Java et qui a un mac, c'est juste censé bloquer le plugin Java des navigateurs. Donc un système anti-applet je suppose.

**Hinault Romaric** · 05/02/2013, 10h50

Oracle sort Java 7u13
un correctif d’urgence pour 50 failles de sécurité, dont 26 critiques

Mise à jour du 05/02/2013

Oracle s’était engagé il y a quelques jours à corriger Java et à mieux communiquer sur la plateforme de développement.

Alliant l’acte à la parole, l’éditeur vient de publier un correctif d’urgence pour les failles de sécurité qui ont secoué l’écosystème Java ces derniers mois.

Java 7 update 13 apporte des patchs pour environ une cinquantaine de vulnérabilités, dont 26 sont classées critiques. Elles peuvent être exploitées pour exécuter du code arbitraire à distance et installer des applications malveillantes sur le poste d’un utilisateur.

Le correctif était initialement prévu pour le 19 février, mais Oracle a dû rompre avec son cycle de mise à jour habituel parce que l’une des failles était activement exploitée.

Quarante-quatre des failles sont exploitables via des applets Java ou des applications Java Web Start s’exécutant dans le navigateur. Une vulnérabilité affecte le processus de déploiement du client Java. Trois failles touchent à la fois Java côté client et serveur.

Oracle recommande l’application immédiate de cette mise à jour importante. Il est conseillé aux personnes n’utilisant pas le plug-in Java dans le navigateur de le maintenir désactivé.

Télécharger Java 7u13

Source : Oracle

**LSMetag** · 05/02/2013, 11h12

Bien, au moins l'intention est là. Oracle va finir par regagner la confiance de ses utilisateurs en poursuivant de la sorte.

**ticNFA** · 05/02/2013, 12h17

Quid de Java 6 ?
Les premières failles montrant qu'il était aussi concerné (ainsi que Java 5 ?).

**bouye** · 05/02/2013, 12h36

A moins de participer à un programme de support payant auprès d'Oracle, ça m'étonnerai que des maj de sécurité supplémentaires majeures soient publiées pour Java 6 vu qu'on est déjà arrivé dans le mois après lequel le support gratuit arrive à son terme (février 2013). Donc si rien ne sort dans les 3 semaines à venir, c'est qu'il est peut-être temps de changer de version de la JVM.

Le support commercial lui va jusqu'en décembre 2016.

**tchize_** · 05/02/2013, 14h09

Envoyé par Hinault Romaric

Trois failles touchent à la fois Java côté client et serveur.

Quelqu'un a des détails là dessus, j'ai besoin de savoir si il est nécessaire d'upgrader nos serveurs ou si les vecteurs en question ne nous concernent pas.

**bouye** · 06/02/2013, 23h01

Concernant le blocage par Apple, pourtant plusieurs sources indiquent bien que c’était aussi les applications desktop qui étaient bloquées.
M'est donc plus avis que c’était surtout les applications Web Start, y compris celles tournant hors du navigateur en plus des Applets.

A noter le gros troll a la fin de l'article :

Sydney security expert Chris Gatford, of HackLabs, said Java was a "dying technology" and that from a security perspective it had been used by malware writers for quite some time to exploit computer systems.

He said it was a "highly recommended practice" to turn it off.

"So given that it's been around for a while and it has been used as a mechanism to exploit systems, I think it's good that [Apple] are thinking about turning things off that aren't needed," Mr Gatford said.

"This is a little bit of pain for perhaps a better security environment for the average home user because it's probably going to affect them most. It's going to be difficult, there's going to be pain. But ultimately it's better in the long term. But I imagine there's going to be some short term pain and a lot of people squealing.

**benoit123456** · 06/02/2013, 23h55

Bonjour,

J'utilise un site de bourse en ligne et je n'ai plus les flux en temps réel depuis ce problème.
Que puis je faire ?Pouvez vous m'aider ?

Cdt,

**bouye** · 07/02/2013, 00h43

OS ? Navigateur ? version de Java ?

A part mettre a jours vers 1.7.0_u13 et contacter l’éditeur du soft, du navigateur et/ou de l'OS, pas beaucoup d’idée.

**bouye** · 11/02/2013, 22h57

La mise a jour du 19 février contiendra les autres correctifs de sécurité qui n'ont pas pu être intégrés dans la maj du 1er février compte tenu de l'urgence et de la précipitation dans lesquelles elle a été publiée.

Updates to February 2013 Critical Patch Update for Java SE

**bouye** · 19/02/2013, 22h33

Sortie de la maj de sécurité de mi-février avec :

Java SE 7 Update 15 (Release Notes)
Java SE 6 Update 41 (Release Notes)

Attention pour les utilisateurs de Java 6 :

Auto-update and Manual Update of JRE 6 will Replace JRE 6 with JRE 7

Since JRE 6 has reached its End of Public Updates, Oracle is taking steps to protect consumer desktops. Oracle will not leave a version of Java installed for which Oracle no longer provide security updates.

In order to do so, when updating from JRE 6, the update mechanism will not only install the latest version of JRE 7 but will also remove the highest version of JRE 6 on the system. This change will happen when the system is updated via the auto-update mechanism or by checking for updates directly from the Java Control Panel. For more information, read the Java SE 7 Update 15 Release Notes.

**tchize_** · 26/02/2013, 22h19

Hohoho

J-1 avant de voir les forums à nouveau envahis de "je déteste oracle qui désinstalle java sans prévenir"

**Népomucène** · 27/02/2013, 09h42

Bonjour @Tchize.

Tu viens d'inventer le concept de "gestion préventive de troll"
qui consisterait à tenter de désamorcer une discussion pénible !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
try {
     Class.forName("net.developpez.DiscussionDriver");
     Discussion discussion = new Discussion();
} catch (TrollException e) {
     e.printTrollStackTrace();
} finally {
     System.gc();
}

On va voir si ça marche

**Hinault Romaric** · 04/03/2013, 19h19

Java : les correctifs sortent, les vulnérabilités suivent
« le langage est un désordre qui n’est pas sécurisé » pour AlienVault Labs

Mise à jour du 04/03/2013

Malgré les efforts d’Oracle pour rendre Java plus sécurisé, la plateforme est toujours vulnérable.

Une fois de plus, à la suite des sorties de nouveaux correctifs de sécurité (Java 1.6 update 41 et Java 1.7 update 15) qui corrigent les précédentes failles, de nouvelles vulnérabilités sont découvertes.

Ces failles, comme il est coutume, sont exploitables via les plugins Java exécutés dans le navigateur, pour perpétrer de cyberattaques.

Les pirates injectent en particulier des « ransomware », des codes malveillants qui se propagent typiquement de la même manière que les vers informatiques. Les documents de l’utilisateur sont alors verrouillés et une demande de paiement est exigée en échange de la clé pour les déverrouiller.

Adam Gowdiak, PDG de Security Explorations dit sans détour : « nous ne pouvons affirmer aux utilisateurs qu’il est de nouveau sûr d’utiliser Java ». Jaime Blasco, de la société AlienVault Labs, quant à lui, fait écho en affirmant que « Java est un désordre, il n’est pas sécurisé, vous devez le désactiver ».

Face à ces risques de sécurité, le département américain de la sécurité recommandait aux utilisateurs de désactiver temporairement Java. Apple ayant été touché de plein fouet a réagi avec une mise à jour de son filtre anti-malware XProtect qui désactive Java sur les versions Mountain Lion et Lion d’OS X.

Source : Reuters

Et vous ?

Pensez-vous que Java pourrait à nouveau inspirer confiance ?

**la.lune** · 05/03/2013, 00h47

Une heure après la publication de cet article Oracle a publié une mise à jour de sécurité, le Java 1.7 update 17. Mais cet article on se réfère d'une source qui parle de de java 1.7 update 15, donc une version avant l'avant-dernière version. L'essentiel mettez à jour vos systèmes.
http://www.oracle.com/technetwork/ja...ads/index.html

A vrai dire si oracle continue dans ce sens il pourra sans doute colmater tous les fuites sur la sécurité dont sa machine virtuelle est exposé.

**Stéphane le calme** · 05/03/2013, 16h02

Java : Oracle publie des correctifs d'urgence
Pour colmater les failles de sécurité critiques de la plateforme

Après la découverte de deux failles de sécurité dans l’environnement Java exploitables via les plugins des navigateurs, la réponse d’Oracle ne s’est pas longtemps fait attendre. Oracle publie, encore une fois, un correctif d’urgence pour pallier le problème.

Les deux vulnérabilités affectent le composant 2D de Java SE. Elles ne s’appliquent pas cependant aux serveurs Java, aux applications de bureau Java ou aux applications embarquées Java. Elles n’affectent pas non plus le serveur Oracle.

Les failles sont utilisées en particulier pour injecter des « ransomware », des codes malveillants qui se propagent typiquement de la même manière que les vers informatiques. Les documents de l’utilisateur sont alors verrouillés et une demande de paiement est exigée en échange de la clé permettant de les déverrouiller.

La compagnie a prévu d’inclure un stabilisateur pour la faille de référence CVE-2013-1493 le 16 avril 2013 et recommande toutefois de garder les paramètres de sécurité de Java au plus haut niveau.

Java 7 Update 17 et Java 6 Update 43 sont disponibles en téléchargement ou peuvent être installés via les mises à jour automatiques.

Télécharger Java 7 Update 17 et Java 6 Update 43.

Source : Blog Oracle

Et vous ?

Pensez-vous que ce patch sera suffisant cette fois pour colmater les failles dans la sécurité de Java ?

**Hinault Romaric** · 06/03/2013, 02h35

Envoyé par la.lune

Une heure après la publication de cet article Oracle a publié une mise à jour de sécurité, le Java 1.7 update 17. Mais cet article on se réfère d'une source qui parle de de java 1.7 update 15, donc une version avant l'avant-dernière version. L'essentiel mettez à jour vos systèmes.
http://www.oracle.com/technetwork/ja...ads/index.html

A vrai dire si oracle continue dans ce sens il pourra sans doute colmater tous les fuites sur la sécurité dont sa machine virtuelle est exposé.

Java 7 update 15 est sortie dimanche dernier. Oracle est passé directement à Java 7 update 17, sans expliquer pourquoi.

**Philippe Bastiani** · 06/03/2013, 10h39

Envoyé par Hinault Romaric

Java 7 update 15 est sortie dimanche dernier. Oracle est passé directement à Java 7 update 17, sans expliquer pourquoi.

L'update 15 c'était le 19 février ! Mais, IMHO, la.lune faisait référence a ton lien Reuters qui date du 14 Janvier !

Il n'en reste pas moins qu'Oracle semble désormais réagir rapidement !

a+
Philippe