Un malware exploite une faille Java corrigée en juin dernier
Et pourtant, il est quand même dangeureux
L’éditeur de solutions de sécurité Kaspersky avertit sur son blog d’un nouveau malware utilisant une faille de la machine virtuelle Java. Même si la brèche a déjà été colmatée, nombreux sont les ordinateurs à posséder une ancienne mouture, ce qui rend la menace potentiellement sérieuse.
Une faille corrigée depuis juin 2013...
Selon Kaspersky, le malware HEUR:Backdoor.Java.Agent.a est suffisamment dangereux pour justifier une alerte. Il utilise une faille Java que l’on peut trouver dans la version 7 Update 21 et toutes les moutures antérieures. Dans la pratique, cette vulnérabilité a été corrigée en juin dernier, mais le processus de mise à jour automatique n’est non seulement pas activé chez tous les utilisateurs, mais beaucoup remettent cette opération à plus tard, se contentant de rejeter l’avertissement quand il apparaît à l’écran.
Comme expliqué sur le blog de Kaspersky, l’exploitation peut se faire à travers des graphismes vectoriels spécialement conçus et placés au sein d’une page web. Le problème de cette faille est qu’elle est disponible potentiellement sur la totalité des systèmes d’exploitation où Java peut être installé, autrement dit Windows, OS X et Linux pour les trois plus importants.
... mais qui peut quand même provoquer des dégâts
Une fois la faille exploitée, le malware s’installe et se copie automatiquement dans les dossiers de démarrage automatique de chaque système pour pouvoir être exécuté à chaque lancement de l’ordinateur. Il communique ensuite avec un canal IRC par lequel il va recevoir les instructions du serveur Command & Control (C&C). Toujours selon Kaspersky, le malware est écrit lui-même en Java et a été conçu pour relayer des commandes d’attaques par déni de service (DDoS). Il intègre même PircBot, une API IRC elle aussi basée sur Java.
La solution pour se prémunir contre cette menace est relativement simple : il suffit de mettre à jour votre version de Java si ce n’est pas déjà fait. Si vous possédez la mouture la plus récente, à savoir Java 7 Update 51, vous n’avez donc rien de particulier à faire. Notez que si Java ne vous sert pas, il est également possible de le désinstaller. Si vous vous en servez pour d’autres besoins, notamment dans le cas du jeu Minecraft, il est possible d’aller dans les réglages Java et de désactiver l’intégration dans le navigateur. De cette manière, les failles ne pourront pas être exploitées par des sites.
Commentaires (40)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 29/01/2014 à 16h40
Le 29/01/2014 à 16h54
Le 29/01/2014 à 17h18
Java?? c quoi ca?
Ah oui c’est la passoire que j’ai viré ya 2 ans
Le 29/01/2014 à 17h43
Le 29/01/2014 à 19h25
Le 30/01/2014 à 00h03
Le 01/02/2014 à 10h34
L’avantage d’une distribution GNU/Linux c’est que la mise à jour de JAVA c’est juste un paquet parmi les autres. Ca se fait parmi toutes les autres mises à jours, en quelques secondes.
Y a juste un truc que j’ai pas compris. Admettons que l’admin d’une machine sous GNU/Linux ait refusé toutes les mises à jour recommandées régulièrement par l’OS, le malware ne contaminera que l’espace utilisateur ou bien il arrive à élever ses privilèges ?
Le 01/02/2014 à 11h08
Je me réponds à moi même: ce malware ne contient aucun exploit d’élévation de privilèges. Donc sous Linux, pour avoir des soucis il faut, pour le pékin moyen
Ca fait quand même un concours de circonstances assez démentiel !
Au final, ce bot n’aurait de toute façon pas la possibilité de contaminer d’autres users de la machine, ni celle de se lancer au démarrage (pas les droits admin pour modifier /etc/init.d ).
Enfin pour régler le problème, une simple MAJ suffit. Bref, peut on vraiment penser que ce bot soit nocif sous des systèmes GNU/Linux ?
Le 29/01/2014 à 13h03
Y a-t-il encore un intérêt pour un particulier de laisser l’intégration dans un navigateur ? Quels sites ‘honnêtes’ réclament encore Java ?
Le 29/01/2014 à 13h08
Ca faisait longtemps tiens!
Le 29/01/2014 à 13h09
java et sa demande de mise a jour qui saoule a chaque demarrage windows? si tu dis oui tu attend 20min et au final il te dis qu’il n’y a pas de MaJ, tu dis non tu as tout de suite acces à ton PC
" />
repetez après moi : le java c’est tabou, on en viendra tous a bout
Le 29/01/2014 à 13h11
Je dois bien connaitre 2-3 personnes qui a chaque fois qu’ils voient le pop-up Java mise à jour ou flash, le ferme en me disant que c’est surement un virus ou une publicité indésirable.
" />
Le 29/01/2014 à 13h13
Le 29/01/2014 à 13h17
“mais beaucoup remettent cette opération à plus tard, se contentant de rejeter l’avertissement quand il apparaît à l’écran.”
et après, que ce soit java ou ses copains, le fait qu’une fois sur deux y’a rien à mettre à jour et que quoi qu’il arrive, il ne retient pas les paramètres que tu lui donnes “NE PLUS ME FAIRE CHIER AVEC VOS TOOLBAR DE MERDE !!!”
(je sais qu’il ne s’agit pas que de java mais que adobe reader autres “indispensables” sont devenus avides d’installation de ces soit disantes toolbar (ask, babylon) qui sont en fait de véritables malware qui écrasent les configs sans retour arrière possible… moralité, chat échaudé… …n’installe plus les mises à jours)
Le 29/01/2014 à 13h17
Le 29/01/2014 à 13h20
Le 29/01/2014 à 13h27
Pas évident quand on a des PC qui doivent avoir une version inférieure à la 6u35 sans quoi les applis ne fonctionnent pas…
" />
Le 29/01/2014 à 13h27
La solution pour se prémunir contre cette menace est relativement simple : il suffit de mettre à jour votre version de Java si ce n’est pas déjà fait.
Et pour voter ?
Le 29/01/2014 à 13h30
La solution pour se prémunir contre cette menace est relativement simple : il suffit de mettre à jour votre version de Java si ce n’est pas déjà fait.
Le désinstaller, comme flash, ça marche aussi pas mal.
Après, faut avoir le choix et l’opportunité de le faire…
Le 29/01/2014 à 13h31
Le 29/01/2014 à 13h32
Le 29/01/2014 à 13h37
Le 29/01/2014 à 13h43
Le 29/01/2014 à 13h46
Le 29/01/2014 à 13h53
C’est bon IDA Pro ;)
Le 29/01/2014 à 13h55
Marrant, je suis justement en train de chercher une façon de forcer l’utilisation d’une version de Java en fonction du logiciel/navigateur demandé… enfin pour le moment c’est moyennement marrant…
Le 29/01/2014 à 14h01
Le 29/01/2014 à 14h12
Une fois la faille exploitée, le malware s’installe et se copie automatiquement dans les dossiers de démarrage automatique de chaque système pour pouvoir être exécuté à chaque lancement de l’ordinateur.
Pour aue ce soit possible, il faut que la faille comprend une élévation de privilège ou bien que l’utilisateur utilise un navigateur internet avec un compte «administrateur».
Le 29/01/2014 à 14h12
Le 29/01/2014 à 14h18
Je n’ai java que pour Vuze.
Mais peu à peu java fera partie de l’histoire des déchets de l’informatique.
Le 29/01/2014 à 14h23
Le 29/01/2014 à 14h50
Le 29/01/2014 à 14h51
Le 29/01/2014 à 15h32
Tiens, ça me fait penser à un truc : bien que java à jour dans l’OS et désactivé dans le navigateur, pourquoi j’ai ça dans about:config : extensions.https_everywhere.Java : true ?
Le 29/01/2014 à 15h35
Le 29/01/2014 à 15h40
Nan mais l’extension ok, je l’ai mise sciemment, c’est juste le fait de voir “java” alors que justement banni du navigateur, ça fait bizarre. M’enfin je pense effectivement que c’est ça (merci), et comme il ne verra pas d’applet fonctionner il ne sécurisera rien concernant java dans le browser…
Le 29/01/2014 à 15h41
Le 29/01/2014 à 15h46
Le 29/01/2014 à 15h53
très bon article, ( simple, court et résumant le news ), juste pour revient sur le truc de java , j’ai lu un article, qui parle sur les failles de java (sun) depuis son rachat par Oracle, le nombre de faille augment exponentiellement, et c’est une stratègie pour rendre cette technologie payante
" /> ou pour favoriser autre
Le 29/01/2014 à 16h31
Comme j’ai ha^te que ce machin disparaisse. Mais bon entre le module FileStation de Synology DSM (nan pas le truc médicale
" /> ) ou les Web GUI des HP Procurve…
" /> )
c’est pas gagné.
(dans le même genre Flash requis pour VMware vSphere Web Client