Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Oracle corrige en urgence une faille critique de plus dans Java

Sans foi sur le métier...

Oracle corrige en urgence une faille critique de plus dans Java

Le 05 mars 2013 à 10h00

Il y a quelques jours, la société de sécurité FireEye révélait une nouvelle faille de type 0-day dans Java. Pas de temps à perdre pour son éditeur, Oracle, qui diffuse aujourd’hui une mise à jour en urgence pour colmater la brèche. Une rapidité qui ne peut plus compenser la débâcle de ces derniers mois.

java

 

Depuis plusieurs mois, l’actualité autour de Java concerne essentiellement les multiples failles de sécurité qui y sont détectées. Beaucoup étaient de type 0day et elles étaient donc déjà exploitées activement lors de leur découverte. Il y a quelques jours, la société de sécurité FireEye a découvert une autre de ces brèches, avertissant dans la foulée Oracle de son caractère critique.

 

Les deux chercheurs à l’origine de la découverte, Darien Kindlund et Yichong Lin, ont indiqué dans un billet dédié que la faille pouvait être exploitée sur les versions les plus récentes de l’environnement Java, à savoir les 1.6 Update 41 et 1.7 Update 15. La faille est d’autant plus critique qu’elle est déjà exploitée de manière automatisée par le cheval de Troie McRat. Ce dernier peut s’installer sur la machine de l’utilisateur via une page web spécialement conçue d’une version vulnérable du plug-in Java dans le navigateur.

 

Il n’aura fallu cependant que quelques jours à Oracle pour colmater la brèche. Il s’agit véritablement d’un patch d’urgence déployé aussi bien pour Java 6 que pour Java 7, en passant par l'ancien Java 5 Update 40. Oracle précise sur son site web que le correctif s’occupe de plusieurs vulnérabilités et qu’il ne concerne pas les installations classiques de Java, le composant serveur ou encore les applications embarquées. Seul le plug-in pour les navigateurs est touché.

 

Les utilisateurs concernés peuvent récupérer le patch depuis le site officiel de l’éditeur.

 

On rappellera cependant (encore une fois) que les utilisateurs qui ne se servent jamais de Java ont tout intérêt à le désinstaller. Ceux qui en ont encore besoin, pour des questions de développement logiciel, ou plus simplement pour jouer à Minecraft, peuvent tout de même désactiver le plug-in dans le navigateur. Cette coupure peut se faire de manière centralisée depuis le panneau de configuration Java.

 

java

Commentaires (34)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

A quand la version 8 ?

votre avatar



On rappellera cependant (encore une fois) que les utilisateurs qui ne se servent jamais de Java ont tout intérêt à le désinstaller. Ceux qui en ont encore besoin, pour des questions de développement logiciel, ou plus simplement pour jouer à Minecraft, peuvent tout de même désactiver le plug-in dans le navigateur.





Les utilisateurs qui ne se servent jamais de Java ne risquent rien, donc pas la peine de désinstaller :) . De toutes façons les failles touchent l’aspect applet Java, qui sont rarement utilisées il me semble (et qu’on peut désactiver comme écrit).



Un point n’est pas clair pour moi, ça touche autre chose que les plateformes Windows cette faille ?

votre avatar

Java, la blague la plus longue de l’histoire de l’informatique! <img data-src=" />

votre avatar







OlivierJ a écrit :



Les utilisateurs qui ne se servent jamais de Java ne risquent rien, donc pas la peine de désinstaller :) . De toutes façons les failles touchent l’aspect applet Java, qui sont rarement utilisées il me semble (et qu’on peut désactiver comme écrit).





Erreur, vu que le navigateur peut faire directement appel à java, alors si on n’en a pas l’usage, autant ne pas l’installer.


votre avatar



Sans foi sur le métier…





<img data-src=" />



Pour ceux qui suivent l’évolution de Java, est-ce que le support/réactivité sur ces corrections était mieux du temps où ce n’est pas Oracle qui était aux manettes ?

votre avatar

Microsoft doit être content <img data-src=" />

Le début de la fin pour Java…

votre avatar







copaz a écrit :



Microsoft doit être content <img data-src=" />

Le début de la fin pour Java…







Il ne faut pas rêver non plus… <img data-src=" />


votre avatar

N’empêche que Oracle répond rapidement.

votre avatar

Le meilleur remède à Java, c’est d’essayer de coder proprement avec. Et ensuite d’essayer .NET. Ou n’importe quoi d’autre en fait. <img data-src=" />

votre avatar







OlivierJ a écrit :



Les utilisateurs qui ne se servent jamais de Java ne risquent rien, donc pas la peine de désinstaller :) . De toutes façons les failles touchent l’aspect applet Java, qui sont rarement utilisées il me semble (et qu’on peut désactiver comme écrit).







Il y a encore un nombre inquiétant de personnes qui ont Java installé sans même le savoir (passe encore) et donc surtout le plugin Java en même temps (et là c’est grave). Ces personnes, qui ne se servent jamais de Java, ne vont pas le désactiver puisqu’elles ne savent même pas qu’elles l’ont. Heureusement que les navigateurs désactivement maintenant les versions trop vieilles du plugin Java.







OlivierJ a écrit :



Un point n’est pas clair pour moi, ça touche autre chose que les plateformes Windows cette faille ?







Oui. L’exploit est moins “stable” qu’avec les failles habituelles Java puisqu’il s’agit cette fois d’une corruption mémoire et non pas d’une faille de logique atteignable en “pur” Java.


votre avatar







copaz a écrit :



Microsoft doit être content <img data-src=" />

Le début de la fin pour Java…





Ici on parle des applets, pas des clients lourds Java, ni des serveurs web Java. Donc peut-être oui, le début de la fin des applets Java, mais de Java dans son ensemble, pas vraiment non ^^.



Les 4x4 polluent trop et vont être interdits, le début de la fin pour les véhicules avec des roues…


votre avatar







GuiTheGuy a écrit :



JavaOracle, la blague la plus longue de l’histoire de l’informatique! <img data-src=" />







<img data-src=" />


votre avatar







Inny a écrit :



Erreur, vu que le navigateur peut faire directement appel à java, alors si on n’en a pas l’usage, autant ne pas l’installer.







Il peut faire directement appel à Java lors de quelle activité ou opération ?


votre avatar

De toute façon l’évolution actuelle tend vers la disparition des applets Java et Flash au profit du full HTML 5. Ya qu’a regarder les derniers navigateurs, même IE 10 supporte énormément de fonctionnalités HTML 5. Dans quelques années tout ca ne sera plus qu’un mauvais souvenir … à moins que les failles des navigateurs prennent le relais <img data-src=" />

votre avatar







NeVeS a écrit :



Il y a encore un nombre inquiétant de personnes qui ont Java installé sans même le savoir (passe encore) et donc surtout le plugin Java en même temps (et là c’est grave). Ces personnes, qui ne se servent jamais de Java, ne vont pas le désactiver puisqu’elles ne savent même pas qu’elles l’ont. Heureusement que les navigateurs désactivement maintenant les versions trop vieilles du plugin Java.







En effet pour la désactivation.

Cela dit, il faut quand même 2 conditions : accéder à un site qui comporte une applet Java, et que cette applet soit vérolée. Ça ne doit pas toucher grand monde, non ?







NeVeS a écrit :



Oui. L’exploit est moins “stable” qu’avec les failles habituelles Java puisqu’il s’agit cette fois d’une corruption mémoire et non pas d’une faille de logique atteignable en “pur” Java.







De là à exploiter un Linux il y a une marge, il faut que le “shell code” soit adapté à l’OS.


votre avatar

Avec l’activation des plugins a la demande ça mitige aussi pas mal la portée de l’attaque, dommage que ça soit pas plus répandu <img data-src=" />

votre avatar

La MaJ se fait toujours avec la proposition de la Ask Bar ?

Si oui, je me pose la question de quand Oracle virera cette m… de son installateur parce qu’en ce moment, j’ai une vague de Pc infecté par un paquet de malware à cause de cette daube inclue dans les dernières MaJ de Java…

Remarquez, tant mieux, ça me fait des sous à dépanner ces Pc, mais bon, éthiquement… :(

votre avatar







Zlandy a écrit :



La MaJ se fait toujours avec la proposition de la Ask Bar ?

Si oui, je me pose la question de quand Oracle virera cette m… de son installateur parce qu’en ce moment, j’ai une vague de Pc infecté par un paquet de malware à cause de cette daube inclue dans les dernières MaJ de Java…

Remarquez, tant mieux, ça me fait des sous à dépanner ces Pc, mais bon, éthiquement… :(





Oui la barre Ask est toujours en opt-out actif dans l’installateur. Sur Win XP, lors de 2 màjs, je n’ai même pas vu la case à décocher, du coup, je m’en suis aperçu plus tard quand le moteur par défaut de Firefox était Ask et plus GG. <img data-src=" />


votre avatar







iFrancois a écrit :



Dans quelques années tout ca ne sera plus qu’un mauvais souvenir … à moins que les failles des navigateurs prennent le relais <img data-src=" />





D’où l’intérêt d’avoir une grande diversité de navigateurs/moteurs de rendu.


votre avatar







OlivierJ a écrit :



Cela dit, il faut quand même 2 conditions : accéder à un site qui comporte une applet Java, et que cette applet soit vérolée. Ça ne doit pas toucher grand monde, non ?







Toujours le problème de fréquence et de gravité. C’est pas tous les jours que ça arrive, mais le jour où ça arrive tu t’en veux grave de pas avoir désactiver cette passoire dans le navigateur.



Ca m’est arrivé 2 fois de me faire véroler par une applet pourrie, 2 fois en cliquant juste sur un lien. La première fois c’était fhimt.com, lien suivi depuis un article de Reflets, la 2e fois, c’était le site d’un parti politique (je sais plus lequel).



Les 2 avaient été discrètement hackés, et les hackeurs avaient ajouté un appel à une applet externe en bidouillant un WordPress mal sécurisé. La première fois, j’ai pas compris ce qui m’était arrivé, la 2e fois je me suis dit ‘meeeerde pourquoi j’ai pas désactivé ce truc?’ <img data-src=" />


votre avatar







ffm76600 a écrit :



A quand la version 8 ?





Septembre :)



http://openjdk.java.net/projects/jdk8/milestones



GA 2013/09/09 General Availability


votre avatar

<img data-src=" />



C’est bon JAVA désinstallé comme ça plus de faille <img data-src=" />

votre avatar







OlivierJ a écrit :



En effet pour la désactivation.

Cela dit, il faut quand même 2 conditions : accéder à un site qui comporte une applet Java, et que cette applet soit vérolée. Ça ne doit pas toucher grand monde, non ?







L’actualité montre le contraire :) (les APTs récentes sur les boites US)







OlivierJ a écrit :



De là à exploiter un Linux il y a une marge, il faut que le “shell code” soit adapté à l’OS.







Dans ce cas, oui il faut que le shellcode soit adapté à l’OS. Mais ça n’a rien de compliqué, un fingerprint du navigateur permet de détecter l’OS et de fournir le bon applet avec le bon shellcode adapté à l’OS. Et là c’est pas plus compliqué de faire un shellcode Linux que Windows.


votre avatar

Oracle devrait racheter la VM Java développé par Google





tchize a écrit :



Septembre :)



http://openjdk.java.net/projects/jdk8/milestones



GA 2013/09/09 General Availability







En même temps ils ont décalés pas mal de choses dans la v9… Plus que 3 ans à attendre.


votre avatar







iFrancois a écrit :



De toute façon l’évolution actuelle tend vers la disparition des applets Java et Flash au profit du full HTML 5. Ya qu’a regarder les derniers navigateurs, même IE 10 supporte énormément de fonctionnalités HTML 5. Dans quelques années tout ca ne sera plus qu’un mauvais souvenir … à moins que les failles des navigateurs prennent le relais <img data-src=" />





Ou pas



pcinpact.com PC INpact <img data-src=" />


votre avatar







copaz a écrit :



Oracle devrait racheter la VM Java développé par Google



En même temps ils ont décalés pas mal de choses dans la v9… Plus que 3 ans à attendre.







La VM de Google n’est pas comparable à celle d’Oracle sur les fonctionnalités implémentées…


votre avatar







jb18v a écrit :



Ou pas



pcinpact.com PC INpact <img data-src=" />





C’est une faille du navigateur justement. <img data-src=" />


votre avatar

Le grand intérêt de Java maintenant de toute façon, c’est JavaEE, donc exit le grand public.

votre avatar







Gilbert_Gosseyn a écrit :



N’empêche que Oracle répond rapidement.







Un oracle qui ne répondrait pas ce serait le comble <img data-src=" />


votre avatar







Choub a écrit :



Le grand intérêt de Java maintenant de toute façon, c’est JavaEE, donc exit le grand public.







Oracle pousse quand meme JavaFX


votre avatar







OlivierJ a écrit :



Les utilisateurs qui ne se servent jamais de Java ne risquent rien, donc pas la peine de désinstaller :) . De toutes façons les failles touchent l’aspect applet Java, qui sont rarement utilisées il me semble (et qu’on peut désactiver comme écrit).



Un point n’est pas clair pour moi, ça touche autre chose que les plateformes Windows cette faille ?







Le probléme est que je ne puis m’en passer il est utilisé par de nombreux programme que je me sert chez moi dont surtout PS3 Media Server.



Je suis donc obligé de vivre avec lui…

Je me demande d’ailleurs quand le créateur de PS3MS utilisera autre chose


votre avatar



Oracle corrige en urgence une faille critique de plus dans Java





o racle o desespoir o vieillesse ennemie <img data-src=" />



Java n’a pas une faille mais un tour noir, au moins chez eux les développeurs n’ont pas à craindre pour leurs emplois…..<img data-src=" />

votre avatar







Laskov a écrit :



Le probléme est que je ne puis m’en passer il est utilisé par de nombreux programme que je me sert chez moi dont surtout PS3 Media Server.



Je suis donc obligé de vivre avec lui…

Je me demande d’ailleurs quand le créateur de PS3MS utilisera autre chose







Si c’est un usage local et non en applet Java, où est le problème ?


votre avatar

OpenJDK, la dernière fois que j’ai regardé (y a longtemps), ct une archive de 80Mo de code c++ complètement tordu (avec la syntax objet du c++ je vous laisse imaginer les délires objets)



Faut pas venir chialer sur la présence d’innombrables failles dans le code c++. C’est pas gentil d’ajouter aux failles du C avec les libs systèmes et du kernel, celles du C++/java…

Oracle corrige en urgence une faille critique de plus dans Java

Fermer