Next - Oracle corrige en urgence une faille critique de plus dans Java

Il y a quelques jours, la société de sécurité FireEye révélait une nouvelle faille de type 0-day dans Java. Pas de temps à perdre pour son éditeur, Oracle, qui diffuse aujourd’hui une mise à jour en urgence pour colmater la brèche. Une rapidité qui ne peut plus compenser la débâcle de ces derniers mois.

Depuis plusieurs mois, l’actualité autour de Java concerne essentiellement les multiples failles de sécurité qui y sont détectées. Beaucoup étaient de type 0day et elles étaient donc déjà exploitées activement lors de leur découverte. Il y a quelques jours, la société de sécurité FireEye a découvert une autre de ces brèches, avertissant dans la foulée Oracle de son caractère critique.

Les deux chercheurs à l’origine de la découverte, Darien Kindlund et Yichong Lin, ont indiqué dans un billet dédié que la faille pouvait être exploitée sur les versions les plus récentes de l’environnement Java, à savoir les 1.6 Update 41 et 1.7 Update 15. La faille est d’autant plus critique qu’elle est déjà exploitée de manière automatisée par le cheval de Troie McRat. Ce dernier peut s’installer sur la machine de l’utilisateur via une page web spécialement conçue d’une version vulnérable du plug-in Java dans le navigateur.

Il n’aura fallu cependant que quelques jours à Oracle pour colmater la brèche. Il s’agit véritablement d’un patch d’urgence déployé aussi bien pour Java 6 que pour Java 7, en passant par l'ancien Java 5 Update 40. Oracle précise sur son site web que le correctif s’occupe de plusieurs vulnérabilités et qu’il ne concerne pas les installations classiques de Java, le composant serveur ou encore les applications embarquées. Seul le plug-in pour les navigateurs est touché.

Les utilisateurs concernés peuvent récupérer le patch depuis le site officiel de l’éditeur.

Commentaires (34)

O.W.7x

Il y a 11 ans

A quand la version 8 ?

OlivierJ Abonné

On rappellera cependant (encore une fois) que les utilisateurs qui ne se servent jamais de Java ont tout intérêt à le désinstaller. Ceux qui en ont encore besoin, pour des questions de développement logiciel, ou plus simplement pour jouer à Minecraft, peuvent tout de même désactiver le plug-in dans le navigateur.

Les utilisateurs qui ne se servent jamais de Java ne risquent rien, donc pas la peine de désinstaller :) . De toutes façons les failles touchent l’aspect applet Java, qui sont rarement utilisées il me semble (et qu’on peut désactiver comme écrit).

Un point n’est pas clair pour moi, ça touche autre chose que les plateformes Windows cette faille ?

GuiTheGuy

Java, la blague la plus longue de l’histoire de l’informatique! " />

Inny Abonné

OlivierJ a écrit :

Les utilisateurs qui ne se servent jamais de Java ne risquent rien, donc pas la peine de désinstaller :) . De toutes façons les failles touchent l’aspect applet Java, qui sont rarement utilisées il me semble (et qu’on peut désactiver comme écrit).

Erreur, vu que le navigateur peut faire directement appel à java, alors si on n’en a pas l’usage, autant ne pas l’installer.

Jarodd Abonné

Sans foi sur le métier…

" />

Pour ceux qui suivent l’évolution de Java, est-ce que le support/réactivité sur ces corrections était mieux du temps où ce n’est pas Oracle qui était aux manettes ?

copaz

Microsoft doit être content " />
Le début de la fin pour Java…

Nithril

copaz a écrit :

Microsoft doit être content " />
Le début de la fin pour Java…

Il ne faut pas rêver non plus… " />

Gilbert_Gosseyn Abonné

N’empêche que Oracle répond rapidement.

Le meilleur remède à Java, c’est d’essayer de coder proprement avec. Et ensuite d’essayer .NET. Ou n’importe quoi d’autre en fait. " />

neves

OlivierJ a écrit :

Les utilisateurs qui ne se servent jamais de Java ne risquent rien, donc pas la peine de désinstaller :) . De toutes façons les failles touchent l’aspect applet Java, qui sont rarement utilisées il me semble (et qu’on peut désactiver comme écrit).

Il y a encore un nombre inquiétant de personnes qui ont Java installé sans même le savoir (passe encore) et donc surtout le plugin Java en même temps (et là c’est grave). Ces personnes, qui ne se servent jamais de Java, ne vont pas le désactiver puisqu’elles ne savent même pas qu’elles l’ont. Heureusement que les navigateurs désactivement maintenant les versions trop vieilles du plugin Java.

OlivierJ a écrit :

Un point n’est pas clair pour moi, ça touche autre chose que les plateformes Windows cette faille ?

Oui. L’exploit est moins “stable” qu’avec les failles habituelles Java puisqu’il s’agit cette fois d’une corruption mémoire et non pas d’une faille de logique atteignable en “pur” Java.

Blood_Man

copaz a écrit :

Microsoft doit être content " />
Le début de la fin pour Java…

Ici on parle des applets, pas des clients lourds Java, ni des serveurs web Java. Donc peut-être oui, le début de la fin des applets Java, mais de Java dans son ensemble, pas vraiment non ^^.

Les 4x4 polluent trop et vont être interdits, le début de la fin pour les véhicules avec des roues…

Anonyme

GuiTheGuy a écrit :

JavaOracle, la blague la plus longue de l’histoire de l’informatique! " />

" />

Inny a écrit :

Erreur, vu que le navigateur peut faire directement appel à java, alors si on n’en a pas l’usage, autant ne pas l’installer.

Il peut faire directement appel à Java lors de quelle activité ou opération ?

iFrancois Abonné

De toute façon l’évolution actuelle tend vers la disparition des applets Java et Flash au profit du full HTML 5. Ya qu’a regarder les derniers navigateurs, même IE 10 supporte énormément de fonctionnalités HTML 5. Dans quelques années tout ca ne sera plus qu’un mauvais souvenir … à moins que les failles des navigateurs prennent le relais " />

NeVeS a écrit :

Il y a encore un nombre inquiétant de personnes qui ont Java installé sans même le savoir (passe encore) et donc surtout le plugin Java en même temps (et là c’est grave). Ces personnes, qui ne se servent jamais de Java, ne vont pas le désactiver puisqu’elles ne savent même pas qu’elles l’ont. Heureusement que les navigateurs désactivement maintenant les versions trop vieilles du plugin Java.

En effet pour la désactivation.
Cela dit, il faut quand même 2 conditions : accéder à un site qui comporte une applet Java, et que cette applet soit vérolée. Ça ne doit pas toucher grand monde, non ?

NeVeS a écrit :

Oui. L’exploit est moins “stable” qu’avec les failles habituelles Java puisqu’il s’agit cette fois d’une corruption mémoire et non pas d’une faille de logique atteignable en “pur” Java.

De là à exploiter un Linux il y a une marge, il faut que le “shell code” soit adapté à l’OS.

seboss666 Abonné

Avec l’activation des plugins a la demande ça mitige aussi pas mal la portée de l’attaque, dommage que ça soit pas plus répandu " />

Zlandy Abonné

La MaJ se fait toujours avec la proposition de la Ask Bar ?
Si oui, je me pose la question de quand Oracle virera cette m… de son installateur parce qu’en ce moment, j’ai une vague de Pc infecté par un paquet de malware à cause de cette daube inclue dans les dernières MaJ de Java…
Remarquez, tant mieux, ça me fait des sous à dépanner ces Pc, mais bon, éthiquement… :(

anonyme_5308cee4763677866e1421efa4474f79

Zlandy a écrit :

La MaJ se fait toujours avec la proposition de la Ask Bar ?
Si oui, je me pose la question de quand Oracle virera cette m… de son installateur parce qu’en ce moment, j’ai une vague de Pc infecté par un paquet de malware à cause de cette daube inclue dans les dernières MaJ de Java…
Remarquez, tant mieux, ça me fait des sous à dépanner ces Pc, mais bon, éthiquement… :(

Oui la barre Ask est toujours en opt-out actif dans l’installateur. Sur Win XP, lors de 2 màjs, je n’ai même pas vu la case à décocher, du coup, je m’en suis aperçu plus tard quand le moteur par défaut de Firefox était Ask et plus GG. " />

Khalev

iFrancois a écrit :

Dans quelques années tout ca ne sera plus qu’un mauvais souvenir … à moins que les failles des navigateurs prennent le relais " />

D’où l’intérêt d’avoir une grande diversité de navigateurs/moteurs de rendu.

B.O.R.E.T.'

OlivierJ a écrit :

Cela dit, il faut quand même 2 conditions : accéder à un site qui comporte une applet Java, et que cette applet soit vérolée. Ça ne doit pas toucher grand monde, non ?

Toujours le problème de fréquence et de gravité. C’est pas tous les jours que ça arrive, mais le jour où ça arrive tu t’en veux grave de pas avoir désactiver cette passoire dans le navigateur.

Ca m’est arrivé 2 fois de me faire véroler par une applet pourrie, 2 fois en cliquant juste sur un lien. La première fois c’était fhimt.com, lien suivi depuis un article de Reflets, la 2e fois, c’était le site d’un parti politique (je sais plus lequel).

Les 2 avaient été discrètement hackés, et les hackeurs avaient ajouté un appel à une applet externe en bidouillant un WordPress mal sécurisé. La première fois, j’ai pas compris ce qui m’était arrivé, la 2e fois je me suis dit ‘meeeerde pourquoi j’ai pas désactivé ce truc?’ " />

tchize

ffm76600 a écrit :

A quand la version 8 ?

Septembre :)

http://openjdk.java.net/projects/jdk8/milestones

GA 2013/09/09 General Availability

sniperdc

" />

C’est bon JAVA désinstallé comme ça plus de faille " />

OlivierJ a écrit :

En effet pour la désactivation.
Cela dit, il faut quand même 2 conditions : accéder à un site qui comporte une applet Java, et que cette applet soit vérolée. Ça ne doit pas toucher grand monde, non ?

L’actualité montre le contraire :) (les APTs récentes sur les boites US)

OlivierJ a écrit :

De là à exploiter un Linux il y a une marge, il faut que le “shell code” soit adapté à l’OS.

Dans ce cas, oui il faut que le shellcode soit adapté à l’OS. Mais ça n’a rien de compliqué, un fingerprint du navigateur permet de détecter l’OS et de fournir le bon applet avec le bon shellcode adapté à l’OS. Et là c’est pas plus compliqué de faire un shellcode Linux que Windows.

Oracle devrait racheter la VM Java développé par Google

tchize a écrit :

Septembre :)

http://openjdk.java.net/projects/jdk8/milestones

GA 2013/09/09 General Availability

En même temps ils ont décalés pas mal de choses dans la v9… Plus que 3 ans à attendre.

jb18v

iFrancois a écrit :

De toute façon l’évolution actuelle tend vers la disparition des applets Java et Flash au profit du full HTML 5. Ya qu’a regarder les derniers navigateurs, même IE 10 supporte énormément de fonctionnalités HTML 5. Dans quelques années tout ca ne sera plus qu’un mauvais souvenir … à moins que les failles des navigateurs prennent le relais " />

Ou pas

http://www.pcinpact.com/news/77915-html5-et-local-storage-quand-chrome-ie-et-saf… " />

copaz a écrit :

Oracle devrait racheter la VM Java développé par Google

En même temps ils ont décalés pas mal de choses dans la v9… Plus que 3 ans à attendre.

La VM de Google n’est pas comparable à celle d’Oracle sur les fonctionnalités implémentées…

jb18v a écrit :

Ou pas

http://www.pcinpact.com/news/77915-html5-et-local-storage-quand-chrome-ie-et-saf… " />

C’est une faille du navigateur justement. " />

Choub

Le grand intérêt de Java maintenant de toute façon, c’est JavaEE, donc exit le grand public.

IAmNotANumber

Gilbert_Gosseyn a écrit :

N’empêche que Oracle répond rapidement.

Un oracle qui ne répondrait pas ce serait le comble " />

Choub a écrit :

Le grand intérêt de Java maintenant de toute façon, c’est JavaEE, donc exit le grand public.

Oracle pousse quand meme JavaFX

Laskov

OlivierJ a écrit :

Les utilisateurs qui ne se servent jamais de Java ne risquent rien, donc pas la peine de désinstaller :) . De toutes façons les failles touchent l’aspect applet Java, qui sont rarement utilisées il me semble (et qu’on peut désactiver comme écrit).

Un point n’est pas clair pour moi, ça touche autre chose que les plateformes Windows cette faille ?

Le probléme est que je ne puis m’en passer il est utilisé par de nombreux programme que je me sert chez moi dont surtout PS3 Media Server.

Je suis donc obligé de vivre avec lui…
Je me demande d’ailleurs quand le créateur de PS3MS utilisera autre chose

josagama

Oracle corrige en urgence une faille critique de plus dans Java

o racle o desespoir o vieillesse ennemie " />

Java n’a pas une faille mais un tour noir, au moins chez eux les développeurs n’ont pas à craindre pour leurs emplois….." />

Laskov a écrit :

Le probléme est que je ne puis m’en passer il est utilisé par de nombreux programme que je me sert chez moi dont surtout PS3 Media Server.

Je suis donc obligé de vivre avec lui…
Je me demande d’ailleurs quand le créateur de PS3MS utilisera autre chose

Si c’est un usage local et non en applet Java, où est le problème ?

OpenJDK, la dernière fois que j’ai regardé (y a longtemps), ct une archive de 80Mo de code c++ complètement tordu (avec la syntax objet du c++ je vous laisse imaginer les délires objets)

Faut pas venir chialer sur la présence d’innombrables failles dans le code c++. C’est pas gentil d’ajouter aux failles du C avec les libs systèmes et du kernel, celles du C++/java…

Oracle corrige en urgence une faille critique de plus dans Java

Sans foi sur le métier...

Tiens, en parlant de ça :

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

Avec neutralité, sans neutralité

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Crypto influenceurs

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Ça en fait des démarrage de DeLorean

Sommaire de l'article

Introduction

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6 a sa première bêta, le tour des nouveautés

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Le poing Dev – Round 7

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

Trois consoles portables en quelques semaines

Cyberrésilience : les compromis (provisoires) du trilogue européen

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Pourquoi le site du média StreetPress a été momentanément inaccessible

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

19 associations européennes de consommateurs portent plainte contre Meta

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

CVSS 4.0 : dur, dur, d’être un expert !

Starlink accessible à Gaza sous contrôle de l’administration israélienne

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

AGI, GPAI, modèles de fondation… de quoi on parle ?

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

MIA : l’IA d’enseignement de Gabriel Attal pour faire oublier le classement PISA

AI Act : des inquiétudes de l’impact de la position française sur les droits humains

Une centaine d’ONG dénonce l’expansion du fichier paneuropéen biométrique EURODAC

Meta coupe le lien entre Instagram et Messenger

Cloud : Amazon rejoint Google dans l’enquête de la CMA sur les pratiques de Microsoft

Mistral AI s’apprête à lever 450 millions d’euros auprès de NVIDIA et a16z

Commentaires (34)