Oracle corrige une faille critique dans l’installeur de Java
Veuillez rester assis et ne rien faire
Le 09 février 2016 à 07h30
2 min
Logiciel
Logiciel
Oracle a publié une mise à jour critique pour Java, hors de son cycle habituel réservé aux correctifs. L’éditeur veut colmater une brèche curieuse, pas nécessairement simple à exploiter, mais qui peut compromettre intégralement la machine si exploitée.
Même si l’intensité de l’actualité a diminué autour de la sécurité de Java, notamment grâce à la mise en place d’un cycle mensuel pour les correctifs, il arrive encore à la technologie de faire parler d’elle. C’est le cas aujourd’hui avec un bulletin critique hors cycle au sujet d’une faille touchant l’installeur de Java pour les versions 6, 7 et 8.
Cette faille, identifiée par la référence CVE-2016-0603, n’est pas simple à exploiter. D’une manière ou d’une autre, un pirate doit enjoindre un utilisateur de récupérer un exécutable d’installation de Java et lui faire lancer. Un peu d’ingénierie sociale devrait aider, quitte à maquiller l’installeur en autre chose. La faille ne peut être exploitée que durant la phase d’installation, mais si le pirate y arrive, il peut obtenir le contrôle de la machine.
La brèche ne peut pas être exploitée à distance véritablement puisqu’elle requiert l’intervention « volontaire » de la victime. Cependant, même ainsi, Oracle considère tout de même la faille suffisamment sérieuse pour nécessiter un bulletin hors cycle, le conseil qui l’accompagne est cependant inusité car il n’est même pas recommandé de mettre à jour Java. Le problème résidant dans l’installeur, il faut simplement penser à récupérer l’exécutable pour être certain d’avoir la dernière révision en cas de réinstallation.
Les trois dernières versions majeures ont été mises à jour. Si vous téléchargez l’exécutable, il faut donc vous assurer qu’il s’agit bien à chaque fois du dernier en date :
- Java 8 Update 79
- Java 7 Update 97
- Java 6 Update 113
Comme indiqué par Eric Maurice sur le blog d’Oracle, toutes les versions précédentes sont vulnérables.
Commentaires (24)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 09/02/2016 à 07h48
Le 09/02/2016 à 07h53
Au hasard, une version d’open office qui demandait le Java, et se débrouiller pour fournir son installeur java
(du genre offline installeur, prenez le sur mon site, etc)…
(remplacer Open Office par n’importe quel logiciel dont vous pourriez être tenté d’utiliser un exe fourni par un tiers).
Encore au hasard: word piraté (mais bon là, on l’a cherché aussi)
Le 09/02/2016 à 08h03
Oui, mais ce n’est pas spécifique à l’installateur Java. N’importe quel exécutable peut être une menace, alors à partir du moment où le pirate réussi à convaincre un utilisateur à exécuter un exécutable, le mal est fait…
Le 09/02/2016 à 08h37
Je suis un homme simple et comme toujours quand la notification java pop, je click sur suivant sans poser de question… depuis toujours, encore et encore :]
Le 09/02/2016 à 08h45
Le 09/02/2016 à 08h58
Et voilà, on l’aurait pas imaginé, Java l’a fait ! Une faille critique dans l’installeur ! 
" />
Le 09/02/2016 à 09h09
Le 09/02/2016 à 09h15
Pour le JRE, ce n’est même pas la 73, mais la 74…
http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.h…
Le 09/02/2016 à 09h29
J’ai “signalé l’erreur”, mais j’ai l’impression qu’il y a une erreur dans la description de la faille.
Slashdot a donné une version plus “imagée” dans cet article :http://developers.slashdot.org/story/16/02/08/220233/java-installer-flaw-shows-w…
La faille est que sur un site ton navigateur va télécharger un fichier DLL “vérolé”, mais qui donc en lui même est inoffensif. Mais lors de la prochaine installation de Java, l’installer vas aller rechercher la DLL dans le rep download au lieu d’aller chercher la version dans ton rep system.
C’est pas parfaitement clair, mais c’est bien ce que dit CVE-2016-0603 :
To be successfully exploited, this vulnerability requires that an unsuspecting user be tricked into visiting a malicious web site and download files into the user’s system before installing Java SE 6, 7 or 8. Though relatively complex to exploit, this vulnerability may result, if successfully exploited, in a complete compromise of the unsuspecting user’s system.
Le 09/02/2016 à 09h42
Si je comprend bien la faille ce ne sont pas les seuls :
http://it.slashdot.org/story/16/02/08/193244/researcher-finds-tens-of-software-p…
Le 09/02/2016 à 10h34
Mince, je croyais que la faille critique dans l’installateur Java, c’était la barre d’outil Ask …
" />
Le 09/02/2016 à 10h47
lien vers la 8.74 :
http://www.majorgeeks.com/files/details/sun_java_runtime_environment.html
Le 09/02/2016 à 11h22
Le 09/02/2016 à 12h29
Pourtant à la base, c’est un véritable constat : Java = programme sponsor qui s’installe (pour les néophytes “nan j’ai pas installé ça, j’ai juste fait Suivant”).
Le 09/02/2016 à 13h10
On dirait du Corneille dans le cid:
“ O racle, oh désespoir …”
Le 09/02/2016 à 14h46
Le 09/02/2016 à 07h34
Je n’ai qu’une 8.73 à télécharger chez Java (du 05/02). Aucune trace d’une 8.79 pour le moment.
Et le blog fait bien mention d’une 8.73.
Le 09/02/2016 à 07h37
Pour la Java 8 je confirme que c’est bien une 8.73 qui mentionne bien la CVE en question.
Le 09/02/2016 à 07h38
Ouaip, 8.73.
Le 09/02/2016 à 07h42
En même temps, à partir du moment où un pirate envoie un exécutable et que l’utilisateur est assez naïf pour l’exécuter, il peut faire ce qu’il veut, installateur de Java ou pas.
Le 09/02/2016 à 15h02
+1
Le 09/02/2016 à 18h01
Le 10/02/2016 à 01h19
Ben prochaine étape, la faille pour le désinstalleur…
" />
Le 10/02/2016 à 07h20
Bon bah ca tombe bien :
l’interface chaise clavier (qui est une passoire) installe un soft (Java) qui est une passoire, avec un installer qui est une passoire, sur un OS qui est une passoire.
La boucle est bouclée, en un sens.
Un maillon sécurisé dans la chaine, ca aurait fait mauvais genre.