50 failles Java corrigées en avance par Oracle

50 failles Java corrigées en avance par Oracle

Urgence, vous avez dit urgence ?

Avatar de l'auteur

Vincent Hermann

Publié dansLogiciel

04/02/2013
26
50 failles Java corrigées en avance par Oracle

L’environnement Java subit depuis quelques mois de nombreuses failles qui lui donnent particulièrement mauvaise presse. Alors que les semaines passent et que de nouvelles brèches n’en finissent plus d’être découvertes, Oracle a décidé d’avancer de deux semaines la publication d’une importante mise à jour.

java

 

C’est donc avec deux semaines d’avance qu’Oracle diffuse la mise à jour 13 pour Java 7. Initialement programmée pour le 19 février, elle est littéralement sortie des rails du cycle mensuel habituel. La raison est simple : les failles de sécurité s’accumulent, pour la plupart critiques, et aucun correctif n’est présent alors que leurs exploitations ont déjà été signalées.

 

La mise à jour proposée, que l’on peut récupérer sur le site de Java ou depuis le panneau de gestion dans le système d’exploitation, est donc critique. Elle corrige pas moins de 50 failles, mais toutes ne concernent pas directement l’environnement d’exécution Java proprement dit. Il s’agit d’un package comprenant notamment des correctifs pour 11 failles de JavaFX. En outre, cette grande mise à jour ne touche pas nécessairement qu'à la version 7 du JRE.

 

Oracle indique sur son site que sur les 50 failles corrigées, 49 peuvent l’être de manière distante. Cela se fera sur une page spécialement conçue pour l’occasion et via un applet Java ou une application Java Web Start. L'éditeur précise cependant que l’impact des failles peut être amoindri si l’utilisateur dispose de droits limités, et n’est donc pas administrateur de sa machine.

 

Signalons également que depuis la mise à jour 11, l’exécution des contenus Java se fait en sécurité « haute » et que chaque exécution d’une application ou d’un applet demande à l’utilisateur une confirmation.

 

Le fait qu’Oracle ait brisé son rythme habituel pour avancer sa mise à jour montre l’urgence de la situation. Les actualités autour de la sécurité de Java créent actuellement un déficit lourd en termes d’image. D’un strict point de vue utilisateur cependant, la question de l’image n’intervient pas. Nous rappellerons donc que si vous n’avez pas besoin de Java, autant le désinstaller. Il ne s’agit d’ailleurs pas d’une règle spécifique au produit d’Oracle : quand un produit n’est pas utile, il n’a pas besoin de rester. Cela réduit la surface d’attaque ainsi que le nombre de composants à mettre à jour régulièrement.

 

java

 

Si vous utilisez Java pour des besoins spécifiques, comme c’est le cas pour les joueurs de Minecraft, sachez que le panneau de gestion permet de le désactiver uniquement dans les navigateurs, ce qui représente ici le vrai problème. Pour cela, rendez-vous dans panneau de configuration et appuyez sur « j » dans le champ de recherche pour faire apparaître Java. Une fois dans la fenêtre ouverte, allez dans l’onglet Sécurité puis désactiverz la case « Activer le contenu Java dans le navigateur ». Ainsi, le butineur ne pourra plus exécuter aucun contenu Java, mais l’environnement restera actif pour les applications qui en ont besoin.

 

java

 

Enfin, en illustration d'une actualité précédente, on ne pourra s'empêcher de remarquer que cette mise à jour 13 s'installe en proposant, encore une fois, d'installer la barre Ask. Il serait temps qu'Oracle fasse l'effort d'intégrer un paramètre pour sauvegarder, une fois pour toutes, le choix initial de l'utilisateur.

26
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Et bonne nuit les petits

00:04 Next 8
dessin de Flock

#Flock distribue des mandales tous azimuts

13:40 Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

11:47 Next 40

Sommaire de l'article

Introduction

#LeBrief : faux avis sur Internet, enquêtes sur l’accord Microsoft et OpenAI, cybersécurité aux États-Unis

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Next 8
dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 40
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 24

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 41
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 21
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 17

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 29
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 8
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 78

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 25
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Acheter sur Internet et payer avec sa carte bancaire

La DGCCRF traque les faux avis sur Internet avec son Polygraphe

ÉcoWeb 0

Logo OpenAI

Au Royaume-Uni et aux États-Unis, l’accord entre Microsoft et OpenAI à la loupe

Droit 0

Une main tenant de gros paquets de dollars

87 % des agences états-uniennes ne parviennent pas à respecter les normes de cybersécurité

DroitSécu 0

Florie Marie démissionne de la présidence du Parti Pirate International

Société 0

Commentaires (26)


bombo
Le 04/02/2013 à 15h50

J’crois que je vais rester en Java 6 un petit bout de temps moi….au moins en attendant la 8, que la 7 soit terminée :-)


Skeeder
Le 04/02/2013 à 15h53

Tant mieux pour la correction, cela me permet d’utiliser plus sereinement le site navigo.fr pour recharger son pass


Romain_Ph Abonné
Le 04/02/2013 à 16h01

Merci Oracle de décridibliser un peu plus les développeurs Java… et Android…

Oui parce que au final moi j’entend régulièrement ( en étant dev android ) : java c’est de la merde…

Alors doit déjà se taper les dev iOS et Windows Phone, mais si en plus dans notre propre camp ca trolle, on est pas sorti de l’auberge…


pandaroux
Le 04/02/2013 à 16h10






rsegismont a écrit :

Merci Oracle de décridibliser un peu plus les développeurs Java… et Android…

Oui parce que au final moi j’entend régulièrement ( en étant dev android ) : java c’est de la merde…

Alors doit déjà se taper les dev iOS et Windows Phone, mais si en plus dans notre propre camp ca trolle, on est pas sorti de l’auberge…



Java c’est bon qu’a faire tourner Minecraft.



Yolélé
Le 04/02/2013 à 16h17






rsegismont a écrit :

Merci Oracle de décridibliser un peu plus les développeurs Java… et Android…

Oui parce que au final moi j’entend régulièrement ( en étant dev android ) : java c’est de la merde…

Alors doit déjà se taper les dev iOS et Windows Phone, mais si en plus dans notre propre camp ca trolle, on est pas sorti de l’auberge…



Ce à quoi il suffit de répondre

ça ne concerne que le plugin pour le navigateur, et à ce niveau ils sont au niveau de flash/adobe reader, ni plus ni moins.


Et minecraft dans le navigateur… Pourquoi ??



bombo
Le 04/02/2013 à 16h20






rsegismont a écrit :

Merci Oracle de décridibliser un peu plus les développeurs Java… et Android…

Oui parce que au final moi j’entend régulièrement ( en étant dev android ) : java c’est de la merde…

Alors doit déjà se taper les dev iOS et Windows Phone, mais si en plus dans notre propre camp ca trolle, on est pas sorti de l’auberge…



Déjà j’ai du mal à comprendre que l’on fasse un aussi simple parallèle entre Android et Java :-)



Romain_Ph Abonné
Le 04/02/2013 à 16h24






bombo a écrit :

Déjà j’ai du mal à comprendre que l’on fasse un aussi simple parallèle entre Android et Java :-)



Parce que pour les dev non Android, ils pensent pour beaucoup que Android = java … c’est malheureux, mais j’ai souvent eu le cas… et tu te fatigues à expliquer encore et encore que c’est différent, qu’on utilise juste les mêmes spécificités du language mais qu’après la façon de coder, etc … est différent



Zorglob
Le 04/02/2013 à 16h28






pandaroux a écrit :

Java c’est bon qu’a faire tourner Minecraft.


Voire JDownloader ;) …



trevisev
Le 04/02/2013 à 16h29






Yolélé a écrit :

Et minecraft dans le navigateur… Pourquoi ??


<img data-src=" />



june
Le 04/02/2013 à 16h34






bombo a écrit :

J’crois que je vais rester en Java 6 un petit bout de temps moi….au moins en attendant la 8, que la 7 soit terminée :-)


Sauf que cette fois-ci, les failles touchent java 1.4, 1.5, 1.6 et 1.7. Tu n’es pas à l’abri.



Kalsth Abonné
Le 04/02/2013 à 16h35


Enfin, en illustration d’une actualité précédente, on ne pourra s’empêcher de remarquer que cette mise à jour 13 s’installe en proposant, encore une fois, d’installer la barre Ask. Il serait temps qu’Oracle fasse l’effort d’intégrer un paramètre pour sauvegarder, une fois pour toutes, le choix initial de l’utilisateur.


Bizarre moi il ne m’a rien proposé du tout et rien n’a été installé
J’ai récupéré l’exe sur le site directement


bombo
Le 04/02/2013 à 16h37






june a écrit :

Sauf que cette fois-ci, les failles touchent java 1.4, 1.5, 1.6 et 1.7. Tu n’es pas à l’abri.



Ah bah super, ça date de l’époque de Sun alors, pas besoin de cracher sur Oracle ?



anonyme_556c59b5c07a69df60ddf6f4e1f6d6b9
Le 04/02/2013 à 16h42






Zorglob a écrit :

Voire JDownloader ;) …



ou bien Freenet pour les courageux… <img data-src=" />



Idiot Proof
Le 04/02/2013 à 17h31






bombo a écrit :

Déjà j’ai du mal à comprendre que l’on fasse un aussi simple parallèle entre Android et Java :-)




this 1 maybe ?

http://en.wikipedia.org/wiki/Dalvik_(software)


<img data-src=" />



WereWindle
Le 04/02/2013 à 19h04






Amyra a écrit :

Bizarre moi il ne m’a rien proposé du tout et rien n’a été installé
J’ai récupéré l’exe sur le site directement


en effet, en fonction de si tu récupères l’install sur java(.com?) ou sun(.com) Ask est proposé à l’install ou pas (je ne sais plus lequel est lequel)



Resman
Le 04/02/2013 à 19h33

Pour info la barre Ask n’est proposée que pour l’installeur téléchargé depuishttp://www.java.com/ . L’installeur obtenu depuishttp://java.sun.com/ (redirigé vershttp://www.oracle.com/technetwork/java/index.html ) n’a pas cette “feature”.


luxian Abonné
Le 04/02/2013 à 20h41






rsegismont a écrit :

Merci Oracle de décridibliser un peu plus les développeurs Java… et Android…

Oui parce que au final moi j’entend régulièrement ( en étant dev android ) : java c’est de la merde…



Curieux, j’ai pensé ça en 2000, dès mon premier TP de java. Je me disais qu’avec le temps les performances s’amélioreraient et que la fameuse portabilité (on code sur Windows, ça tourne sous FreeBSD et Linux) marcherait un jour sans rester à du code de base pour être bien compatible et … juste lancer l’applet.

Et bien je le pense encore 12 ans plus tard …
Et les rares fois ou par hasard je vois passer du pissage de code java, je le pense encore plus ….



Florent_ATo
Le 05/02/2013 à 04h10






Resman a écrit :

Pour info la barre Ask n’est proposée que pour l’installeur téléchargé depuishttp://www.java.com/ . L’installeur obtenu depuishttp://java.sun.com/ (redirigé vershttp://www.oracle.com/technetwork/java/index.html ) n’a pas cette “feature”.



Qqn pour vérifier ? Si c’est exact, ça mérite d’être mentionné dans la news. <img data-src=" />



Edtech Abonné
Le 05/02/2013 à 07h33

J’ai téléchargé le fichier d’installation complet en 64 bits sur java.com et je n’ai pas eu la barre Ask lors de l’installation.


tnerual
Le 05/02/2013 à 07h36

Juste le fait que la barre Ask soit proposée est déjà en soit rédhibitoire.

S’il existe un lien pour installer une mise à jour sans Ask c’est une avancée.

Le mieux, en plus de corriger les failles ,serait de supprimer la barre Ask.

Bonne journée.


Vincent_H Abonné
Le 05/02/2013 à 07h53






Resman a écrit :

Pour info la barre Ask n’est proposée que pour l’installeur téléchargé depuishttp://www.java.com/ . L’installeur obtenu depuishttp://java.sun.com/ (redirigé vershttp://www.oracle.com/technetwork/java/index.html ) n’a pas cette “feature”.



Comme déjà dit, la barre Ask sera systématiquement proposée lors des mises à jour.


Edtech a écrit :

J’ai téléchargé le fichier d’installation complet en 64 bits sur java.com et je n’ai pas eu la barre Ask lors de l’installation.



Là aussi, déjà dit : la barre Ask n’est pas dans l’installeur complet et hors ligne.



Edtech Abonné
Le 05/02/2013 à 07h56






Vincent_H a écrit :

Comme déjà dit, la barre Ask sera systématiquement proposée lors des mises à jour.


Là aussi, déjà dit : la barre Ask n’est pas dans l’installeur complet et hors ligne.



Au passage, la version 64 bits ne propose jamais les mises à jour, faut aller les chercher soit-même. D’ailleurs, l’option “vérifiez les mises à jour” n’existe même pas dans le panneau de configuration alors qu’il l’est (était ?) dans la version 32 bits…



bombo
Le 05/02/2013 à 08h38






Idiot Proof a écrit :

this 1 maybe ?

http://en.wikipedia.org/wiki/Dalvik_(software)


<img data-src=" />



Ton lien appuis ce que je disais, aucune raison de faire le rapprochement entre les deux ;-)



psn00ps Abonné
Le 05/02/2013 à 09h24






Edtech a écrit :

Au passage, la version 64 bits ne propose jamais les mises à jour, faut aller les chercher soit-même. D’ailleurs, l’option “vérifiez les mises à jour” n’existe même pas dans le panneau de configuration alors qu’il l’est (était ?) dans la version 32 bits…


Elle est dans dans l’onglet advanced, JRE Auto-Download.



netGeus
Le 05/02/2013 à 10h50

Ça devient lourd de faire les mises à jour -_-


josagama
Le 05/02/2013 à 14h01

la faille de san andréas est une rigolade à coté de celle de java……<img data-src=" />