Oracle : bulletin géant de sécurité et troubles autour de Java

Oracle : bulletin géant de sécurité et troubles autour de Java

La situation n'est pas près de changer

Avatar de l'auteur

Vincent Hermann

Publié dansLogiciel

19/04/2013
44
Oracle : bulletin géant de sécurité et troubles autour de Java

Oracle a publié un immense bulletin de sécurité corrigeant pas moins de 128 failles. Il s’agit pour l’éditeur du CPU (Critical Patch Update) d’avril et d’arroser l’ensemble des produits touchés par des failles de sécurité. C’est notamment le cas de Java qui, à lui seul, concerne 42 des correctifs.

java

Une majorité de failles exploitables à distance  

Le dernier bulletin correctif d’Oracle ne passe pas inaperçu : 128 brèches de sécurité réparties sur plusieurs produits de la firme. On retrouve ainsi Fusion Middleware, touché par 29 failles dont 22 sont exploitables à distance. Business Suite est concerné par 6 failles, toutes exploitables à distance, tandis que MySQL est touché par 25 failles, dont une seule exploitable à distance, mais sans requérir d’authentification.

 

Voici la liste des autres produits touchés par des failles :

  • Database Server : 4 failles, toutes exploitables à distance sans authentification
  • Supply Chain Products Suite : 3 failles, dont une exploitable à distance sans authentification
  • PeopleSoft Products : 11 failles, dont 6 exploitables à distance sans authentification
  • Siebel CRM : 8 failles, dont une exploitable à distance sans authentification
  • Industry Applications : 3 failles
  • Financial Services Software : 18 failles, dont une exploitable à distance sans authentification
  • Primavera Products Suite : 2 failles, dont une exploitable à distance sans authentification
  • Support Tools : 1 faille

Le souci principal n’est en fait pas tant le nombre de failles corrigées que le pourcentage d’entre elles exploitable à distance, surtout sans aucune authentification.

Java : la situation n'est pas prête de s'améliorer 

Le festival continue évidemment avec Java. La technologie est régulièrement sous les feux des projecteurs depuis plusieurs mois à cause d’un problème inhérent à la qualité de son code. Ce ne sont ainsi pas moins de 42 brèches qui sont corrigées et il est recommandé aux utilisateurs de mettre leur version à jour aussi rapidement que possible. L’écrasante majorité de ces failles sont considérées comme critiques et sont exploitables à distance, là encore sans authentification préalable.

 

Ross Barrett, responsable de l’ingénierie chez le spécialiste de la sécurité Rapid7, a au sujet de Java un avis pessimiste. Il met en garde : « Les administrateurs et utilisateurs doivent réaliser que le bon sens en ce qui concerne la sécurité et les précautions autour du plug-in Java ne va pas changer avec ce patch, le suivant ou celui d’après. En tant que plug-in web, Java a de nombreux problèmes non résolus, dont la plupart sont révélés à Oracle par des chercheurs responsables qui font essentiellement le travail d’assurance qualité d’Oracle, de manière régulière et gratuitement ».

 

Son point de vue est évident : si des chercheurs sont capables de trouver autant de failles critiques et dangereuses, des pirates motivés par l’appât du gain en feront de même, sinon davantage. De fait, Java doit être considéré comme vulnérable encore pendant un temps, durant lequel Oracle continuera ses travaux. Un avis partagé par Wade Williamson, analyste chez Palo Alto Networks : « Pour beaucoup d’entreprises, les récompenses de Java ont considérablement diminué avec les années, alors que les risques ont augmenté exponentiellement. Alors de nombreuses entreprises vont devoir examiner longuement et attentivement Java pour savoir si le jeu en vaut la chandelle ».

Désactiver Java dans le navigateur 

Sur la plupart des machines des utilisateurs « classiques », Java est pour rappel inutile. Les sites l’utilisant sont rarissimes, mais certaines applications s’en servent encore. On citera d’ailleurs deux exemples populaires : l’excellent PS3 Media Server (transcodage vidéo et diffusion DLNA) et le jeu Minecraft. Dans un cas comme dans l’autre, cela n’empêche pas de désactiver la présence de Java au sein du navigateur, car c’est bien ce dernier qui se retrouve être le vecteur d’attaque le plus fréquent, via des pages web spécialement conçues.

 

Pour rappel, le panneau de configuration java contient une option pour activer ou désactiver le plug-in web du navigateur. L’option se trouve dans l’onglet Sécurité :

 

java

44
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

Des mini datacenters… Ouais une baie quoi ?

19:03HardwareInternet 0
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

0/1

17:53IA et algorithmesSociété numérique 3

Plainte contre l’alternative paiement ou publicité comportementale de Meta

Schrems vs Meta, saison 3

17:31DroitIA et algorithmes 8

Sommaire de l'article

Introduction

Une majorité de failles exploitables à distance  

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardwareInternet 0
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IA et algorithmesSociété numérique 3

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA et algorithmes 8
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitInternet 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société numérique 4
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitInternet 2

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

0

Le poing Dev – round 6

Next 130

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 6
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA et algorithmes 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Sciences et espace 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hardware 6

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

0
Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Internet 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 63
Pilule rouge et bleue avec des messages codés

Encapsulation de clés et chiffrement d’enveloppes

Sécurité 31
Empreinte digital sur une capteur

Empreintes digitales : les capteurs Windows Hello loin d’être exemplaires

Sécurité 20

#LeBrief : succès du test d’Ariane 6, réparer plutôt que remplacer, Broadcom finalise le rachat de VMware

0

Hébergeurs, éditeurs, espaces de conversation ? La difficile régulation des réseaux sociaux

Réseaux sociauxSociété numérique 23
Puces en silicium

Silicium : un matériau indispensable et omniprésent, mais critique

HardwareSciences et espace 25
Panneau solaire bi-face Sunology Play

Panneaux solaires en autoconsommation : on décortique le kit Play de Sunology

Hardware 26
The eyes and ears of the army, Fort Dix, N.J.

Un think tank propose d’autoriser les opérations de « hack back »

Sécurité 12

#LeBrief : Ariane 6 sur le banc de test, arrestation algorithmique, entraînement d’IA par des mineurs

0
Illustration Back to the future Job

OpenAI : récit d’une semaine de folie

IA et algorithmesSociété numérique 41
Drapeaux de l’Union européenne

AI Act : la France, l’Allemagne et l’Italie ne veulent pas réguler les modèles « de fondation »

DroitIA et algorithmes 4
Disques durs Western Digital Ultrastar DC HC680 de 26 à 28 To

Western Digital : scission en 2024, des HDD 24 To CMR et 28 To SMR dès maintenant

Hardware 14

#LeBrief : Firefox 120, SoC Dimensity 8300, amendes des géants du Net

0
Smartphone OnePlus 12

Le OnePlus 12 sera présenté le 5 décembre

Hardware 32

Logo de Google sur un ordinateur portable

Des fichiers disparaissent mystérieusement de certains comptes Google Drive

Logiciel 17

Devanture du magasin de la Samaritaine

À la Samaritaine, des caméras camouflées en détecteurs de fumée

Droit 11

Rachat d’iRobot : la Commission détaille ses craintes à Amazon

Droit 10

Logo de FreeBSD sur fond rouge

FreeBSD 14 disponible en version finale

Logiciel 2

Commentaires (44)


Lochnar
Il y a 11 ans

Les “chercheurs responsables” dont parle l’article sont des universitaires? Des employés d’entreprise de sécurité?


Vincent_H Abonné
Il y a 11 ans






Lochnar a écrit :

Les “chercheurs responsables” dont parle l’article sont des universitaires? Des employés d’entreprise de sécurité?



Ca dépend des cas, mais il parlait plutôt d’une attitude : des failles sont trouvées puis révélées confidentiellement à Oracle.



Choub
Il y a 11 ans

Vous pourriez rajouter “plug-in” devant Java ? Ca commence à saouler de faire l’amalgame..


Tohrnoriac Abonné
Il y a 11 ans

j’ai eu 2 mises a jours à la suite en début de semaine….
cette technologie (plus trop utilisée) est (a été) remplacée par quoi ?


Romain_Ph Abonné
Il y a 11 ans






Choub a écrit :

Vous pourriez rajouter “plug-in” devant Java ? Ca commence à saouler de faire l’amalgame..



+1 : j’y ai le droit avec Android …



Kako78
Il y a 11 ans

Chez nous on mets le paquet pour virer l’applet Java qu’on utilise dans un de nos produits (streaming de données). On va passer sur WebSocket avec un fallback sur Ajax.

C’est devenu trop pénible Java, ça nous coûte un bras de valider sans cesse toutes les versions de plugins. On en est arrivé à un point où on doit supporter plus d’une dizaine de versions de JRE (les clients n’installent pas forcément toutes les MAJ), bref c’est l’horreur…
Entre ça et le nombre de browser (IE 8, 9, 10, Chrome, FF), le QA pleure sa mère…


bossmido
Il y a 11 ans

pour les afficonados du lynchage:

http://java-0day.com/


psn00ps Abonné
Il y a 11 ans

Pour les amateurs de bashing :
Dites vous qu’au moins Oracle communique, lui.

Les autres sont peut être plus troués mais sans communication.
D’autre part ça montre que ce produit n’est pas laissé à l’abandon.


CounterFragger Abonné
Il y a 11 ans


des chercheurs responsables qui font essentiellement le travail d’assurance qualité d’Oracle, de manière régulière et gratuitement

Oracle est pour le moment trop occupé à faire des procès à la con à Google concernant Java… <img data-src=" /> ‘peuvent pas être sur plusieurs fronts en même temps ! <img data-src=" />

Sinon, l’activation des applets Java m’est indispensable pour gérer à distance un matériel réseau (BlueCoat pour ne pas le citer). Tout ça sur un PC connecté au Net qui est donc vulnérable aux quatre vents… Bravo Oracle ! <img data-src=" />


Vincent_H Abonné
Il y a 11 ans






psn00ps a écrit :

Pour les amateurs de bashing :
Dites vous qu’au moins Oracle communique, lui.

Les autres sont peut être plus troués mais sans communication.
D’autre part ça montre que ce produit n’est pas laissé à l’abandon.



Quels autres ? La seule boîte à ne pas vraiment communiquer est Apple. Tous les autres ont des bulletins tout aussi clairs.



Youp3 Abonné
Il y a 11 ans

Ouch ! L’erreur dans le titre :

Java : la situation n’est pas près de s’améliorer

Cela devrait être :

Java : la situation n’est pas prête de s’améliorer


Anonyme
Il y a 11 ans

[hs]





Youp3 a écrit :

Ouch ! L’erreur dans le titre :

Cela devrait être : Java : la situation n’est pas prête de s’améliorer



C’est soit :

La situation n’est pas près de changer

ou

La situation n’est pas prête à changer (mais du coup ça ne colle pas des masses).

http://grammaire.reverso.net/2_1_77_pres_pret.shtml

[/hs]



hasterix Abonné
Il y a 11 ans






rsegismont a écrit :

+1 : j’y ai le droit avec Android …



Je ne peux m’empêcher de me demander si Oracle ne travaillerait pas main dans la main avec Microsoft pour dénigrer la plateforme Java (vu le travail lamentable de maintenance qu’ils font dessus après Sun), tout en s’en servant pour attaquer Android.

Après tout, le couple Windows/Oracle était très heureux avant l’émergence Linux/MySQL …



Freud
Il y a 11 ans






Youp3 a écrit :

Ouch ! L’erreur dans le titre :

Cela devrait être :



J’imagine que tu voulais dire l’inverse : il faut utiliser “près de” et non “prête de”.

En tout cas j’espère que Vincent n’a pas ajouté une faute à une phrase correcte suite à ton commentaire, car la faute est toujours là :)



maxxyme
Il y a 11 ans

C’est drôle comme tout le monde semble oublier qu’avant Oracle, c’était surtout Sun Microsystems qui était en charge de Java… et donc du fameux plug-in.
Certes c’est facile de “taper” sur le propriétaire actuel, mais je trouve que ça montre bien que la qualité a longtemps manqué sur ce périmètre-là. <img data-src=" />


Anonyme
Il y a 11 ans






hasterix a écrit :

Je ne peux m’empêcher de me demander si Oracle ne travaillerait pas main dans la main avec Microsoft pour dénigrer la plateforme Java (vu le travail lamentable de maintenance qu’ils font dessus après Sun), tout en s’en servant pour attaquer Android.

Après tout, le couple Windows/Oracle était très heureux avant l’émergence Linux/MySQL …



Je ne suis pas sûr que tous les torts soient à imputer à Oracle.
Ce serait étonnant que toutes les failles découvertes ces derniers temps soient uniquement dues à du code d’Oracle. Le problème de qualité et d’entretien du code devait déjà exister à l’époque de Sun.



Olipla
Il y a 11 ans

A noter tout de même que plus de la moitié de ces 42 failles affectent aussi les versions 6 et antérieures (c’est-à-dire celles du temps de Sun).


hasterix Abonné
Il y a 11 ans






RBoudin a écrit :

Je ne suis pas sûr que tous les torts soient à imputer à Oracle.
Ce serait étonnant que toutes les failles découvertes ces derniers temps soient uniquement dues à du code d’Oracle. Le problème de qualité et d’entretien du code devait déjà exister à l’époque de Sun.




Olipla a écrit :

A noter tout de même que plus de la moitié de ces 42 failles affectent aussi les versions 6 et antérieures (c’est-à-dire celles du temps de Sun).



On peut voir ça aussi de la manière suivante : un certain nombre de failles existaient du temps de Sun, 1) elles n’ont pas été corrigées, 2) autant ont été ajoutées par la suite.

Je n’ai pas le sentiment qu’Oracle défende becs et ongles sa technologie nouvellement acquise.



Jesuisserieux
Il y a 11 ans






maxxyme a écrit :

C’est drôle comme tout le monde semble oublier qu’avant Oracle, c’était surtout Sun Microsystems qui était en charge de Java… et donc du fameux plug-in.
Certes c’est facile de “taper” sur le propriétaire actuel, mais je trouve que ça montre bien que la qualité a longtemps manqué sur ce périmètre-là. <img data-src=" />



Oracle est le pendant de Microsoft dans le coté Obscur mais pour les PROs.
Ils ont bien salopé MySql avec leur nouvelle politique commerciale. Le positif est qu’il existe désormais d”autres alternatives crédibles coté BDD Libres



anonyme_95bde7ad91b4483068f10094cf1c28ca
Il y a 11 ans






Vincent_H a écrit :

Quels autres ? La seule boîte à ne pas vraiment communiquer est Apple. Tous les autres ont des bulletins tout aussi clairs.



ben, tu vois, elles communiquent tellement peu que tu les as pas trouvées <img data-src=" />



anonyme_92fcfbdd6cc3f0397af3a985adab6b1b
Il y a 11 ans

en fait, oracle aurait pu corriger plus de bugs, mais ça n’aurait plus le même sens.<img data-src=" />


Inny Abonné
Il y a 11 ans

Et leur mise à jour java essaie toujours d’installer la barre ask… <img data-src=" />


refuznik Abonné
Il y a 11 ans

Autre problème inhérent à java et à ses différentes versions ce sont les serveurs tiers du genre Blackberry entreprise qui obligent à avoir tels ou tels versions en prod.


Zorglob
Il y a 11 ans


(…) mais certaines applications s’en servent encore. On citera d’ailleurs deux exemples populaires : l’excellent PS3 Media Server (transcodage vidéo et diffusion DLNA) et le jeu Minecraft.
… ainsi que Azureus/Vuze et JDownloader, dans un créneau un peu moins… pro <img data-src=" />


Ideal
Il y a 11 ans






Inny a écrit :

Et leur mise à jour java essaie toujours d’installer la barre ask… <img data-src=" />




C’est bien ça incitera les gens à être toujours plus vigilant lors d’une installation quelconque sur leurs appareils quels qu’ils soient :)
Et bon si ils peuvent gagner quelques sous avec cela bah ça me pose pas de problème particulier …



Winderly Abonné
Il y a 11 ans

Peut on en déduire que Java est passé largement devant Flash en termes d’insécurité ?


Winderly Abonné
Il y a 11 ans






Youp3 a écrit :

Ouch ! L’erreur dans le titre :

Cela devrait être :


près est devenu un verbe quand ?



anonyme_d58ae7e2d09a5d3fb2e3eb976436dda3
Il y a 11 ans


Sur la plupart des machines des utilisateurs « classiques », Java est pour rappel inutile.


j’avoue que Java pour un client sous Windows çà ne sert plus à rien. Perso je n’ai plus aucune machine avec un JRE d’installé depuis très longtemps.


psn00ps Abonné
Il y a 11 ans






hadoken a écrit :

j’avoue que Java pour un client sous Windows çà ne sert plus à rien. Perso je n’ai plus aucune machine avec un JRE d’installé depuis très longtemps.


si, pour Freenet <img data-src=" /> (ou Minecraft)



anonyme_d58ae7e2d09a5d3fb2e3eb976436dda3
Il y a 11 ans






psn00ps a écrit :

si, pour Freenet <img data-src=" />


bah bien sur, il y a quelques application (l’article cite minecraft)… mais c’est tellement plus la mode comme solution cliente que c’est rare.



monsieurben
Il y a 11 ans






Choub a écrit :

Vous pourriez rajouter “plug-in” devant Java ? Ca commence à saouler de faire l’amalgame..



Non : la plupart des failles corrigées lors du dernier patch n’étaient pas présentes dans le code du plugin, mais dans d’autres APIs (awt, javaFX, etc. Voir ici :http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html)

Le code du plugin était le point d’entrée de la faille.

Cela montre, comme le disent les chercheurs cités dans l’article, qu’Oracle a bien un grave problème d’assurance qualité (pas uniquement sur java d’ailleurs), et non un petit bout de code pourri lié au web start, comme beaucoup de devs de mon entourage ont tenté de me l’expliquer…

Par contre, on pourrait dire que l’implémentation d’Oracle est une catastrophe, pas java <img data-src=" />



MikeNeko
Il y a 11 ans






psn00ps a écrit :

si, pour Freenet <img data-src=" /> (ou Minecraft)



…et pour le livetiming de f1



Groumfy
Il y a 11 ans


certaines applications s’en servent encore.


Il n’y a pas que les softs pour la maison…

C’est quelque peu réducteur par rapport aux entreprises qui utilisent Java, mais sans faire d’applets.

Et les communautés Apache, IBM, Eclipse, …


yvan Abonné
Il y a 11 ans






Tohrnoriac a écrit :

j’ai eu 2 mises a jours à la suite en début de semaine….
cette technologie (plus trop utilisée) est (a été) remplacée par quoi ?


les technos Ajax et html5 généralement.

En fait c’est plutôt que le Java client sur le web n’a jamais vraiment décollé.

Pour en avoir fait il y a quinze ans le principal pb que je rencontrais était que les programmes générés avec des objets de haut niveau (ceux qui permettent de coder vite) avaient des perfs minables et que donc l’intérêt du langage pour le web était très vite limité puisque la qualité de l’exécution dépendant de la puissance de la machine cliente il n’était jamais certain qu’un applet puisse s’exécuter correctement…
Dès qu’ajax est arrivé java client n’a plus intéressé grand monde sur le web je dirais.



yvan Abonné
Il y a 11 ans






Zorglob a écrit :

… ainsi que Azureus/Vuze et JDownloader, dans un créneau un peu moins… pro <img data-src=" />


L’installeur Oracle sinon utilise java <img data-src=" />


Winderly a écrit :

Peut on en déduire que Java est passé largement devant Flash en termes d’insécurité ?


C’est plus complexe que ça, l’important n’est pas le nombre de failles mais leur exploitation réelle. Suffit qu’un produit réputé sur ait une faille qui soit massivement utilisable et c’est fini.



Choub
Il y a 11 ans






monsieurben a écrit :

Non : la plupart des failles corrigées lors du dernier patch n’étaient pas présentes dans le code du plugin, mais dans d’autres APIs (awt, javaFX, etc. Voir ici :http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html)

Le code du plugin était le point d’entrée de la faille.

Cela montre, comme le disent les chercheurs cités dans l’article, qu’Oracle a bien un grave problème d’assurance qualité (pas uniquement sur java d’ailleurs), et non un petit bout de code pourri lié au web start, comme beaucoup de devs de mon entourage ont tenté de me l’expliquer…

Par contre, on pourrait dire que l’implémentation d’Oracle est une catastrophe, pas java <img data-src=" />


Mais tu as oublié que si le code défaillant se trouve dans d’autres APIs, l’exploitation n’est possible qu’à partir des Web Starts ou applets (cf Note 1):

Applies to client deployment of Java only. This vulnerability can be exploited only through untrusted Java Web Start applications and untrusted Java applets. (Untrusted Java Web Start applications and untrusted applets run in the Java sandbox with limited privileges.)



xillibit Abonné
Il y a 11 ans

Il y a aussi libreoffice qui a besoin du plug-in java mais le code nécessitant java est réécrit dans un langue à chaque version donc libreoffice devrait pouvoir se passer de java dans quelques temps


Groumfy
Il y a 11 ans






Inny a écrit :

Et leur mise à jour java essaie toujours d’installer la barre ask… <img data-src=" />



C’est clair, Oracle se met au niveau du shareware ! Ca fait trop la boite de malheureux qui peine à vendre des licences.



psn00ps Abonné
Il y a 11 ans






Groumfy a écrit :

C’est clair, Oracle se met au niveau du shareware ! Ca fait trop la boite de malheureux qui peine à vendre des licences.


On ne paye rien à Oracle pour jouer à Minecraft, ni pour n’importe quelle appli utulisant du java.
Une barre publicitaire qu’on peut refuser en un clic c’est l’Eldorado. (et elle se laisse désinstaller <img data-src=" />)
PEBKAC à ceux qui installent sans regarder. <img data-src=" /> <img data-src=" />



RaoulC
Il y a 11 ans






maxxyme a écrit :

C’est drôle comme tout le monde semble oublier qu’avant Oracle, c’était surtout Sun Microsystems qui était en charge de Java… et donc du fameux plug-in.
Certes c’est facile de “taper” sur le propriétaire actuel, mais je trouve que ça montre bien que la qualité a longtemps manqué sur ce périmètre-là. <img data-src=" />



Surement.
Mais bon, quand je vois VirtualBox qui était correct sous Sun et les premières versions de “Oracle VirtualBox” , buggées jusqu’a à moelle (j’ai failli perdre des VM a cause de rollback de snapshots foireux..

On se demande si le problème n’est pas : Oracle casse tout ce qu’il touche.

Maintenant, le java bashing, très peu pour moi.
Je taperais bien sur Flash par contre, meme gratuitement <img data-src=" />



Oungawak
Il y a 11 ans


(…) mais certaines applications s’en servent encore. On citera d’ailleurs deux exemples populaires : l’excellent PS3 Media Server (transcodage vidéo et diffusion DLNA) et le jeu Minecraft.







Zorglob a écrit :

… ainsi que Azureus/Vuze et JDownloader, dans un créneau un peu moins… pro <img data-src=" />


Euuuuh… Tu peux me dire dans quelle boîte tu travaille que j’envoie mon CV ? <img data-src=" /> Ça doit être sympa comme ambiance si vous bossez sur Minecraft en matant des films. <img data-src=" />



monsieurben
Il y a 11 ans






Choub a écrit :

Mais tu as oublié que si le code défaillant se trouve dans d’autres APIs, l’exploitation n’est possible qu’à partir des Web Starts ou applets (cf Note 1):


Désolé, c’est ce que je voulais dire dans “le point d’entrée était le plugin java”.
Mais en soit ça ne change rien au problème : la présence de ces failles montre que le code a une dette technique importante en termes de sécurité, pas uniquement la partie applets.

Après, Oracle est une société qui a largement les moyens financiers et humains pour régler ce problème. Seulement, ils ne communiquent actuellement aucunement dans ce sens (à part ce bulletin); c’est dommage car du coup ça continue à nuire à l’image du langage, y compris pour les autres implémentations…



maxxyme
Il y a 11 ans






Anna Lefeuk a écrit :

Oracle est le pendant de Microsoft dans le coté Obscur mais pour les PROs.
Ils ont bien salopé MySql avec leur nouvelle politique commerciale. Le positif est qu’il existe désormais d”autres alternatives crédibles coté BDD Libres


en l’occurrence MariaDB… <img data-src=" />
ou bien PostgreSQL
ou encore toutes les nouvelles bases No SQL



Jesuisserieux
Il y a 11 ans






maxxyme a écrit :

en l’occurrence MariaDB… <img data-src=" />
ou bien PostgreSQL
ou encore toutes les nouvelles bases No SQL



Oui mais les clients, dans certains secteurs restent frileux et peuvent trouver certaines distrib trop exotiques (pour le moment). Après payer une license c’est toujours super sympa <img data-src=" />