Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

50 failles Java corrigées en avance par Oracle

Urgence, vous avez dit urgence ?

50 failles Java corrigées en avance par Oracle

Le 04 février 2013 à 15h49

L’environnement Java subit depuis quelques mois de nombreuses failles qui lui donnent particulièrement mauvaise presse. Alors que les semaines passent et que de nouvelles brèches n’en finissent plus d’être découvertes, Oracle a décidé d’avancer de deux semaines la publication d’une importante mise à jour.

java

 

C’est donc avec deux semaines d’avance qu’Oracle diffuse la mise à jour 13 pour Java 7. Initialement programmée pour le 19 février, elle est littéralement sortie des rails du cycle mensuel habituel. La raison est simple : les failles de sécurité s’accumulent, pour la plupart critiques, et aucun correctif n’est présent alors que leurs exploitations ont déjà été signalées.

 

La mise à jour proposée, que l’on peut récupérer sur le site de Java ou depuis le panneau de gestion dans le système d’exploitation, est donc critique. Elle corrige pas moins de 50 failles, mais toutes ne concernent pas directement l’environnement d’exécution Java proprement dit. Il s’agit d’un package comprenant notamment des correctifs pour 11 failles de JavaFX. En outre, cette grande mise à jour ne touche pas nécessairement qu'à la version 7 du JRE.

 

Oracle indique sur son site que sur les 50 failles corrigées, 49 peuvent l’être de manière distante. Cela se fera sur une page spécialement conçue pour l’occasion et via un applet Java ou une application Java Web Start. L'éditeur précise cependant que l’impact des failles peut être amoindri si l’utilisateur dispose de droits limités, et n’est donc pas administrateur de sa machine.

 

Signalons également que depuis la mise à jour 11, l’exécution des contenus Java se fait en sécurité « haute » et que chaque exécution d’une application ou d’un applet demande à l’utilisateur une confirmation.

 

Le fait qu’Oracle ait brisé son rythme habituel pour avancer sa mise à jour montre l’urgence de la situation. Les actualités autour de la sécurité de Java créent actuellement un déficit lourd en termes d’image. D’un strict point de vue utilisateur cependant, la question de l’image n’intervient pas. Nous rappellerons donc que si vous n’avez pas besoin de Java, autant le désinstaller. Il ne s’agit d’ailleurs pas d’une règle spécifique au produit d’Oracle : quand un produit n’est pas utile, il n’a pas besoin de rester. Cela réduit la surface d’attaque ainsi que le nombre de composants à mettre à jour régulièrement.

 

java

 

Si vous utilisez Java pour des besoins spécifiques, comme c’est le cas pour les joueurs de Minecraft, sachez que le panneau de gestion permet de le désactiver uniquement dans les navigateurs, ce qui représente ici le vrai problème. Pour cela, rendez-vous dans panneau de configuration et appuyez sur « j » dans le champ de recherche pour faire apparaître Java. Une fois dans la fenêtre ouverte, allez dans l’onglet Sécurité puis désactiverz la case « Activer le contenu Java dans le navigateur ». Ainsi, le butineur ne pourra plus exécuter aucun contenu Java, mais l’environnement restera actif pour les applications qui en ont besoin.

 

java

 

Enfin, en illustration d'une actualité précédente, on ne pourra s'empêcher de remarquer que cette mise à jour 13 s'installe en proposant, encore une fois, d'installer la barre Ask. Il serait temps qu'Oracle fasse l'effort d'intégrer un paramètre pour sauvegarder, une fois pour toutes, le choix initial de l'utilisateur.

Commentaires (26)

votre avatar

J’crois que je vais rester en Java 6 un petit bout de temps moi….au moins en attendant la 8, que la 7 soit terminée :-)

votre avatar

Tant mieux pour la correction, cela me permet d’utiliser plus sereinement le site navigo.fr pour recharger son pass

votre avatar

Merci Oracle de décridibliser un peu plus les développeurs Java… et Android…



Oui parce que au final moi j’entend régulièrement ( en étant dev android ) : java c’est de la merde…



Alors doit déjà se taper les dev iOS et Windows Phone, mais si en plus dans notre propre camp ca trolle, on est pas sorti de l’auberge…

votre avatar







rsegismont a écrit :



Merci Oracle de décridibliser un peu plus les développeurs Java… et Android…



Oui parce que au final moi j’entend régulièrement ( en étant dev android ) : java c’est de la merde…



Alors doit déjà se taper les dev iOS et Windows Phone, mais si en plus dans notre propre camp ca trolle, on est pas sorti de l’auberge…







Java c’est bon qu’a faire tourner Minecraft.


votre avatar







rsegismont a écrit :



Merci Oracle de décridibliser un peu plus les développeurs Java… et Android…



Oui parce que au final moi j’entend régulièrement ( en étant dev android ) : java c’est de la merde…



Alors doit déjà se taper les dev iOS et Windows Phone, mais si en plus dans notre propre camp ca trolle, on est pas sorti de l’auberge…







Ce à quoi il suffit de répondre



ça ne concerne que le plugin pour le navigateur, et à ce niveau ils sont au niveau de flash/adobe reader, ni plus ni moins.





Et minecraft dans le navigateur… Pourquoi ??


votre avatar







rsegismont a écrit :



Merci Oracle de décridibliser un peu plus les développeurs Java… et Android…



Oui parce que au final moi j’entend régulièrement ( en étant dev android ) : java c’est de la merde…



Alors doit déjà se taper les dev iOS et Windows Phone, mais si en plus dans notre propre camp ca trolle, on est pas sorti de l’auberge…







Déjà j’ai du mal à comprendre que l’on fasse un aussi simple parallèle entre Android et Java :-)


votre avatar







bombo a écrit :



Déjà j’ai du mal à comprendre que l’on fasse un aussi simple parallèle entre Android et Java :-)







Parce que pour les dev non Android, ils pensent pour beaucoup que Android = java … c’est malheureux, mais j’ai souvent eu le cas… et tu te fatigues à expliquer encore et encore que c’est différent, qu’on utilise juste les mêmes spécificités du language mais qu’après la façon de coder, etc … est différent


votre avatar







pandaroux a écrit :



Java c’est bon qu’a faire tourner Minecraft.





Voire JDownloader ;) …


votre avatar







Yolélé a écrit :



Et minecraft dans le navigateur… Pourquoi ??





<img data-src=" />


votre avatar







bombo a écrit :



J’crois que je vais rester en Java 6 un petit bout de temps moi….au moins en attendant la 8, que la 7 soit terminée :-)





Sauf que cette fois-ci, les failles touchent java 1.4, 1.5, 1.6 et 1.7. Tu n’es pas à l’abri.


votre avatar



Enfin, en illustration d’une actualité précédente, on ne pourra s’empêcher de remarquer que cette mise à jour 13 s’installe en proposant, encore une fois, d’installer la barre Ask. Il serait temps qu’Oracle fasse l’effort d’intégrer un paramètre pour sauvegarder, une fois pour toutes, le choix initial de l’utilisateur.





Bizarre moi il ne m’a rien proposé du tout et rien n’a été installé

J’ai récupéré l’exe sur le site directement

votre avatar







june a écrit :



Sauf que cette fois-ci, les failles touchent java 1.4, 1.5, 1.6 et 1.7. Tu n’es pas à l’abri.







Ah bah super, ça date de l’époque de Sun alors, pas besoin de cracher sur Oracle ?


votre avatar







Zorglob a écrit :



Voire JDownloader ;) …







ou bien Freenet pour les courageux… <img data-src=" />


votre avatar







bombo a écrit :



Déjà j’ai du mal à comprendre que l’on fasse un aussi simple parallèle entre Android et Java :-)









this 1 maybe ?



en.wikipedia.org Wikipedia





<img data-src=" />


votre avatar







Amyra a écrit :



Bizarre moi il ne m’a rien proposé du tout et rien n’a été installé

J’ai récupéré l’exe sur le site directement





en effet, en fonction de si tu récupères l’install sur java(.com?) ou sun(.com) Ask est proposé à l’install ou pas (je ne sais plus lequel est lequel)


votre avatar

Pour info la barre Ask n’est proposée que pour l’installeur téléchargé depuishttp://www.java.com/ . L’installeur obtenu depuishttp://java.sun.com/ (redirigé vershttp://www.oracle.com/technetwork/java/index.html ) n’a pas cette “feature”.

votre avatar







rsegismont a écrit :



Merci Oracle de décridibliser un peu plus les développeurs Java… et Android…



Oui parce que au final moi j’entend régulièrement ( en étant dev android ) : java c’est de la merde…







Curieux, j’ai pensé ça en 2000, dès mon premier TP de java. Je me disais qu’avec le temps les performances s’amélioreraient et que la fameuse portabilité (on code sur Windows, ça tourne sous FreeBSD et Linux) marcherait un jour sans rester à du code de base pour être bien compatible et … juste lancer l’applet.



Et bien je le pense encore 12 ans plus tard …

Et les rares fois ou par hasard je vois passer du pissage de code java, je le pense encore plus ….


votre avatar







Resman a écrit :



Pour info la barre Ask n’est proposée que pour l’installeur téléchargé depuishttp://www.java.com/ . L’installeur obtenu depuishttp://java.sun.com/ (redirigé vershttp://www.oracle.com/technetwork/java/index.html ) n’a pas cette “feature”.







Qqn pour vérifier ? Si c’est exact, ça mérite d’être mentionné dans la news. <img data-src=" />


votre avatar

J’ai téléchargé le fichier d’installation complet en 64 bits sur java.com et je n’ai pas eu la barre Ask lors de l’installation.

votre avatar

Juste le fait que la barre Ask soit proposée est déjà en soit rédhibitoire.



S’il existe un lien pour installer une mise à jour sans Ask c’est une avancée.



Le mieux, en plus de corriger les failles ,serait de supprimer la barre Ask.



Bonne journée.

votre avatar







Resman a écrit :



Pour info la barre Ask n’est proposée que pour l’installeur téléchargé depuishttp://www.java.com/ . L’installeur obtenu depuishttp://java.sun.com/ (redirigé vershttp://www.oracle.com/technetwork/java/index.html ) n’a pas cette “feature”.







Comme déjà dit, la barre Ask sera systématiquement proposée lors des mises à jour.





Edtech a écrit :



J’ai téléchargé le fichier d’installation complet en 64 bits sur java.com et je n’ai pas eu la barre Ask lors de l’installation.







Là aussi, déjà dit : la barre Ask n’est pas dans l’installeur complet et hors ligne.


votre avatar







Vincent_H a écrit :



Comme déjà dit, la barre Ask sera systématiquement proposée lors des mises à jour.





Là aussi, déjà dit : la barre Ask n’est pas dans l’installeur complet et hors ligne.







Au passage, la version 64 bits ne propose jamais les mises à jour, faut aller les chercher soit-même. D’ailleurs, l’option “vérifiez les mises à jour” n’existe même pas dans le panneau de configuration alors qu’il l’est (était ?) dans la version 32 bits…


votre avatar







Idiot Proof a écrit :



this 1 maybe ?



en.wikipedia.org Wikipedia(software)





<img data-src=" />







Ton lien appuis ce que je disais, aucune raison de faire le rapprochement entre les deux ;-)


votre avatar







Edtech a écrit :



Au passage, la version 64 bits ne propose jamais les mises à jour, faut aller les chercher soit-même. D’ailleurs, l’option “vérifiez les mises à jour” n’existe même pas dans le panneau de configuration alors qu’il l’est (était ?) dans la version 32 bits…





Elle est dans dans l’onglet advanced, JRE Auto-Download.


votre avatar

Ça devient lourd de faire les mises à jour -_-

votre avatar

la faille de san andréas est une rigolade à coté de celle de java……<img data-src=" />

50 failles Java corrigées en avance par Oracle

Fermer