Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Nouvelle faille déjà exploitée pour Java : prudence recommandée

Coupez Java dans le navigateur si vous ne vous en servez pas

Nouvelle faille déjà exploitée pour Java : prudence recommandée

Le 11 janvier 2013 à 16h32

Une faille a été repérée dans Java (version 7, mise à jour 9 et 10) qui permet « l’exécution de code arbitraire à distance » alerte le bulletin du CERTA.

java

 

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) conseille sans plus attendre et provisoirement « de désactiver Java tant qu’un correctif n’est pas diffusé par l’éditeur ». Et pour cause, la vulnérabilité dans le produit d’Oracle « permet une exécution de code arbitraire à distance au moyen d’une page Web spécialement conçue ». La faille n’est pas potentielle puisque « cette vulnérabilité est activement exploitée et largement diffusée » indique l’ANSSI.

 

Le Cert américain ajoute que cette attaque peut être menée par un utilisateur distant et non authentifié. Plus en détail, il faut savoir que chaque applet dans une page web ne peut s’exécuter que si un Security Manager est présent. Dans la plupart des cas, il s’agit de celui fourni par le navigateur, sinon de celui fourni par le plug-in Java Web Start. Une méthode permet à l’applet d’interroger la configuration pour savoir avec quels composants communiquer. Via plusieurs failles, un tel applet pourrait provoquer une escalade de privilèges pour obtenir du Security Manager les pleins pouvoirs.

 

Le principal problème de cette faille Java est qu’elle est exploitable et est déjà exploitée sur des installations entièrement à jour (Java 7 Update 10). En plus des organismes officiels de surveillance, la faille a été reproduite puis confirmée par AlienVault, qui avertit d’ailleurs dans son blog que les kits d’exploitation Blackhole et Nuclear Pack permettent déjà de l’utiliser.

 

java

 

Tous conseillent la désactivation temporaire de Java dans le navigateur web. La solution la plus simple, sous Windows, OS X ou autre, est de se rendre dans les paramètres de Java qui se trouvent dans le Panneau de configuration ou équivalent. De là, il faut cliquer sur l’onglet Sécurité puis désactiver la ligne concernant « le contenu Java dans le navigateur », ainsi que nous vous le montrons dans la capture ci-dessus.

Commentaires (70)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







cid_Dileezer_geek a écrit :



Pourquoi, tu comptes te suicider ce soir ou quoi?<img data-src=" /><img data-src=" />





<img data-src=" />



Je crois que je me suis emmêlé les pinceaux dans les expressions… <img data-src=" />


votre avatar







Seth-01 a écrit :



“Pour profiter de PC INpact, votre navigateur doit obligatoirement supporter Javascript”



lol





C’est pas de javascript qu’on parles.


votre avatar







Seth-01 a écrit :



“Pour profiter de PC INpact, votre navigateur doit obligatoirement supporter Javascript”



lol





Une petite confusion Java / Javascript… ?


votre avatar







Seth-01 a écrit :



“Pour profiter de PC INpact, votre navigateur doit obligatoirement supporter Javascript”



lol









Java et Javascript (renommé ECMA Script justement pour éviter la confusion) sont deux choses totalement différentes.



Quand à Jdownloader, il fonctionnera toujours une fois les plugins Java désactivés dans les navigateurs.


votre avatar







mooms a écrit :



Quand à Jdownloader, il fonctionnera toujours une fois les plugins Java désactivés dans les navigateurs.





Tout-à-fait, testé la “coupure” en plein téléchargement : aucune incidence. <img data-src=" />


votre avatar

Au sujet de cette faille, je confirme…



Il y a à peu près 2 semaines j’ai choppé une saloperie sur mon PC simplement en navigant de lien en lien, je n’ai lancé AUCUN exécutable.



Donc: Firefox qui a lancé quelque chose tout seul et j’ai eu à peine le temps de voir une fenêtre s’ouvrir. Navigateur qui se ferme, toutes les icônes qui dégagent, plus de barre de tâches, plus de gestionnaire de tâches juste le fond d’écran.



Voyant le modem routeur tourner, j’ai enlevé le câble ethernet, puis rebooté l’ordi à la barbare.



Au retour du bureau, plus d’accès aux navigateurs ni au gestionnaire de tâches, par contre j’avais mes raccourcis sur le bureau, et en particulier MalwareByte’s Antimalware.



Je l’ai lancé, il n’a pas mis longtemps à me trouver une saloperie (Ransomware).

Une fois dégagé et l’ordi de nouveau rebooté, j’ai remis à jour le MalwareByte’s et relancé autant de fois que nécessaire un scan approfondi et à ma grande surprise, à l’heure où les ennuis avaient commencé il m’a trouvé un fichier java infecté qui avait été créé…



Par quoi je ne le saurai jamais, mais j’ai vite fait le rapprochement…



Pour être honnète, je n’étais peut-être pas sur des sites super recommandables mais pas non plus des choses illégales (loin de là même …), donc bon… prudence.



<img data-src=" />

votre avatar

Désolé mais si je vais dans l’onglet “sécurité”, je n’ai référence qu’aux certificats. Pas de réglette ni rien d’autres …

votre avatar







Larsirion a écrit :



perso je n’ai pas ça sur la capture java (j’ai juste le truc sur les certificats)

et dans les options avancées, il y a bien la désactivation pour IE et Mozilla… mais celle de IE est grisée et celle de mozilla revient à chaque fois que je fais “appliquer”…



perso, je m’en passerai volontiers de java mais jdownloader l’utilise… :-/







Simple : désactive Java dans tes navigateurs, ça suffit.

A ce jour, les sites qui se servent d’applet Java n’existent plus, ou presque. Le vecteur d’infection le plus fréquent passe le plus souvent par des pages web avec une applet Java conçue pour infecter.





JDownloader utilise la version de Java installée, pas le plugin pour le navigateur.



votre avatar

Si ça peut aider :



http://www.java.com/fr/download/help/enable_browser.xml



Le tuto pour (dés)activer Java dans les navigateurs … sur le site de Java. ^^

votre avatar

Je ne peux pas me passer de Java, pratiquement toute ma formation repose dessus. =__=

votre avatar







EMegamanu a écrit :



Je ne peux pas me passer de Java, pratiquement toute ma formation repose dessus. =__=







Y a pas à dire, il y a un gros problème avec l’enseignement supérieur info en france …


votre avatar







EMegamanu a écrit :



Je ne peux pas me passer de Java, pratiquement toute ma formation repose dessus. =__=







J’ai désactivé les modules (via les menus de mes 2 navigateurs puisque j’utilise IE et Firefox) et j’ai enlevé le plug-in via le menu du gestionnaire java.



Ca n’enlève pas Java de la machine, ça empêche simplement qu’il se lance depuis les navigateurs. <img data-src=" />


votre avatar

C’est lassant en plus les mises à jours ne sont pas automatique toujours faire et refaire les étapes d’installations <img data-src=" />



Failles Java + Failles MS = For The Loose <img data-src=" />

votre avatar

Et voilà une de plus…



Ma société commercialise un soft qui ne se lance qu’au travers d’un appel Java depuis le navigateur <img data-src=" />



ça va être sympa les appels Lundi à la Hotline !

votre avatar







Reznor26 a écrit :



Démarrer &gt; Panneau de configuration &gt; Java



Mais faut pas passer par la recherche, ça ne fonctionne pas.

(c’est peut-être ça qui vous induit en erreur)







Ah non c’était juste que je n’avais pas la dernière version. Après la dernière version tout est ok. ;)


votre avatar







EMegamanu a écrit :



Je ne peux pas me passer de Java, pratiquement toute ma formation repose dessus. =__=









Tu peux continuer à utiliser et développer en Java sans avoir pour autant cette s*loperie de plugin Java dans ton navigateur.


votre avatar







Ideal a écrit :



https://addons.mozilla.org/fr/firefox/blocked/p182



Etrange ils disent que c’est désactivé depuis le 30 octobre 2012 mais bon j’y crois pas trop

Surtout qu’ils disent que c’est désactivé alors que dans les modules pour firefox y a marqué le contraire mais peut-être que c’est pas transparent pour l’utilisateur …





En fait, ils ont modifié une règle précédente, qui ne s’appliquait pas à Java 7 U10 avant mise à jour (du 11 janvier). Sur Firefox 17 et ultérieur, Java 7 U10 n’est pas bloqué, il est CTP block : il ne s’exécute pas automatiquement, il faut cliquer sur l’applet pour la lancer (fonction Click to play).


votre avatar







Math73 a écrit :



En fait, ils ont modifié une règle précédente, qui ne s’appliquait pas à Java 7 U10 avant mise à jour (du 11 janvier). Sur Firefox 17 et ultérieur, Java 7 U10 n’est pas bloqué, il est CTP block : il ne s’exécute pas automatiquement, il faut cliquer sur l’applet pour la lancer (fonction Click to play).





Je viens de voir ca sur un site pour le boulot, chembl, qui utilise un applet java pour dessiner des molecules (bon en meme dans ce domaine ils sont un peu tous affectes, chemspider, et ils ne sont pas de petits sites).

Et la pas trop le choix, je ne peux pas me passer de l’applet java.


votre avatar
votre avatar







ungars a écrit :



Le site 01NET semble être un vecteur de diffusion d’adware et autre saloperies :http://www.malekal.com/2011/11/28/pctuto-et-01net-le-foutage-de-gueule-continue/







ça existe encore ?


votre avatar

M’en fout, je suis toujours avec la branche 6 \o/

votre avatar

Est-ce que cette faille est présente avec IcedTea ?

votre avatar

Pour la nième fois, si il y a des gens qui ont encore cette saloperie d’activée, c’est qu’ils méritent de se faire infecter.



“Tous conseillent la désactivation temporaire de Java dans le navigateur web.”

Moi, je conseille la désactivation ferme et définitive.

<img data-src=" />

votre avatar



Coupez Java dans le navigateur si vous ne vous en servez pas





C’est ce que j’ai fais depuis une bonne année, quand j’ai eu le virus Gendarmerie, le seul virus que j’ai eu depuis que j’ai un pc, soit 10 ans <img data-src=" />



Et sans aucun troll, depuis l’avoir désactivé, je n’ai pas vu l’intéret de le remettre vu qu’aucun site ne l’utilise, en tout cas je recommence de pas l’installer, Java apporte trop de virus, et trop souvent <img data-src=" />



Comment totalement tuer Java aussi ….

votre avatar







Muzikals a écrit :



M’en fout, je suis toujours avec la branche 6 \o/







Idem, je ne savais même pas qu’il y avait une version 7…


votre avatar

Je suis aussi sous 6 avec Linux Mint 13 Maya

votre avatar

perso je n’ai pas ça sur la capture java (j’ai juste le truc sur les certificats)

et dans les options avancées, il y a bien la désactivation pour IE et Mozilla… mais celle de IE est grisée et celle de mozilla revient à chaque fois que je fais “appliquer”…



perso, je m’en passerai volontiers de java mais jdownloader l’utilise… :-/

votre avatar







Larsirion a écrit :



perso, je m’en passerai volontiers de java mais jdownloader l’utilise… :-/





En vérifiant je viens de me rendre compte que “JDownloader” est la contraction de “Java Downloader”.



Je mourrais moins bête ce soir tiens… <img data-src=" />


votre avatar

J’suis sur Windows 8 et je n’ai pas ça dans le panneau de configuration java.

Dans securité je n’ai que : Certificats et rien d’autre

votre avatar







dump a écrit :



J’suis sur Windows 8 et je n’ai pas ça dans le panneau de configuration java.

Dans securité je n’ai que : Certificats et rien d’autre







Pareil que toi et je suis sur win7 64 bits.


votre avatar







Larsirion a écrit :



perso je n’ai pas ça sur la capture java (j’ai juste le truc sur les certificats)

et dans les options avancées, il y a bien la désactivation pour IE et Mozilla… mais celle de IE est grisée et celle de mozilla revient à chaque fois que je fais “appliquer”…







Tu dois avoir l’update 9 et non la 10 <img data-src=" />


votre avatar

pour firefox, un coup dans le menu Module complémentaires / plugins et clic sur désactiver. Et hop, plus de java.

votre avatar







herbeapipe a écrit :



Pareil que toi et je suis sur win7 64 bits.







Démarrer &gt; Panneau de configuration &gt; Java



Mais faut pas passer par la recherche, ça ne fonctionne pas.

(c’est peut-être ça qui vous induit en erreur)


votre avatar







dump a écrit :



J’suis sur Windows 8 et je n’ai pas ça dans le panneau de configuration java.

Dans securité je n’ai que : Certificats et rien d’autre







Il me semble que çà dépend du type de Java installé (JRE ou JDK)


votre avatar

“Pour profiter de PC INpact, votre navigateur doit obligatoirement supporter Javascript”



lol

votre avatar







Reznor26 a écrit :



En vérifiant je viens de me rendre compte que “JDownloader” est la contraction de “Java Downloader”.



Je mourrais moins bête ce soir tiens… <img data-src=" />



Pourquoi, tu comptes te suicider ce soir ou quoi?<img data-src=" /><img data-src=" />


votre avatar







bzc a écrit :



Y a pas à dire, il y a un gros problème avec l’enseignement supérieur info en france …





Quand le navigateur doit avoir accéder à l’USB mis a part Flash tu propose quoi ?


votre avatar

Si Oracle arrêtait un peu de faire des procès à tout le monde peut-être qu’ils auraientt le temps d’écrire un truc propre <img data-src=" />

votre avatar







Horizon a écrit :



Quand le navigateur doit avoir accéder à l’USB mis a part Flash tu propose quoi ?





Tu n’as pas compris. Java a ses avantages comme tout les langages, mais qu’une formation repose entièrement sur un seul langage ça fait peur (et si il fallait en choisir qu’un seul ça devrait être un autre je pense mais bon ça c’est plus subjectif).


votre avatar

Y’en a marre des failles java.. sérieux c’ est pire qu’ un gruyère pas la peine de sortir des correctifs si ca sert à rien <img data-src=" />

votre avatar







Seth-01 a écrit :



“Pour profiter de PC INpact, votre navigateur doit obligatoirement supporter Javascript”



lol





Il ne faut pas confondre Java et Javascript <img data-src=" /><img data-src=" /><img data-src=" />



<img data-src=" />


votre avatar







sylvere a écrit :



Si Oracle arrêtait un peu de faire des procès à tout le monde peut-être qu’ils auraientt le temps d’écrire un truc propre <img data-src=" />





Les patchs sont les bienvenus<img data-src=" />


votre avatar







Horizon a écrit :



Quand le navigateur doit avoir accéder à l’USB mis a part Flash tu propose quoi ?







silverlight.


votre avatar







rbag a écrit :



silverlight.





C’est pas abandonné ça ? <img data-src=" />


votre avatar

Peut-être que les gens se mettront enfin à coder en un vrai langage comme C++ <img data-src=" />



Franchement, j’aime déjà pas répéter à chaque fois “public bidule, private bidule”, le prof est d’une suffisance impressionnante, alors en plus s’il y a des failles 0day-top-critiques tous les jours, ça va pas changer mon opinion sur ce langage.

votre avatar







rbag a écrit :



silverlight.







J’ai bien rigolé merci


votre avatar

Fallait s’y attendre….



Vu le nombre d’années que les développeurs Java se branlent le menton haut avec leurs design patterns… et vu l’effet cascade, ils ne vont pas sortir un correctif avant un bon gros moment..! <img data-src=" />


votre avatar







Horizon a écrit :



Quand le navigateur doit avoir accéder à l’USB mis a part Flash tu propose quoi ?







Un applet java, pourquoi pas, mais accéder à l’USB depuis un navigateur Web est tellement marginal que ce n’est pas une raison pour imposer un plugin Java inutile dans 99% des cas à tous les utilisateurs de Java ou d’un logiciel qui utilise Java.



Dans ton cas tu dis à l’utilisateur d’installer le plugin Java et c’est bon, ça évite que tout le monde ait ce plugin par défaut et aille grossir les rangs des machines zombies des botnets.


votre avatar

Java désactivé sur mes navigateurs <img data-src=" />

votre avatar







Horizon a écrit :



Quand le navigateur doit avoir accéder à l’USB mis a part Flash tu propose quoi ?





On a beau être en 2013, Java ne gère pas l’USB, pas plus que Flash…


votre avatar



Je crois que je me suis emmêlé les pinceaux dans les expressions



peintre ?

votre avatar







ElRom16 a écrit :



Et sans aucun troll, depuis l’avoir désactivé, je n’ai pas vu l’intéret de le remettre vu qu’aucun site ne l’utilise, en tout cas je recommence de pas l’installer, Java apporte trop de virus, et trop souvent <img data-src=" />







Pour ma part je n’installe plus du tout Java sur les PC des clients, ni les miens, et je n’ai remarqué aucun site internet le demandant…



A mon avis l’usage de Java sur les sites internet se fait relativement rare, et dans ce cas je suggère de l’installer uniquement si nécessaire.

Idem pour les logiciels, il est rare qu’un programme le demande.



De plus, j’ai remarqué qu’à l’usage les mises à jour de Java ne sont pas automatiques, il pose des questions… contrairement à Adobe Flash et Reader qui ont bien amélioré les choses (et Firefox aussi).



Même LibreOffice ne réclame plus du tout Java depuis de nombreuses versions, donc plus aucune raison de le mettre par défaut.


votre avatar







ff9098 a écrit :



J’ai bien rigolé merci







très sincèrement c’était un peu du troll quand j’ai écrit ça <img data-src=" />


votre avatar







MrPlectros a écrit :



Et voilà une de plus…



Ma société commercialise un soft qui ne se lance qu’au travers d’un appel Java depuis le navigateur <img data-src=" />



ça va être sympa les appels Lundi à la Hotline !









  • 1 !



    Ca fait juste <img data-src=" />: plantage:

    ouiais chouette ….


votre avatar







sylvere a écrit :



Si Oracle arrêtait un peu de faire des procès à tout le monde peut-être qu’ils auraient le temps d’écrire un truc propre <img data-src=" />



Pas étonnant qu’ils aient des failles si c’est le service juridique qui développe.<img data-src=" /><img data-src=" /><img data-src=" />


votre avatar







cid_Dileezer_geek a écrit :



Pas étonnant qu’ils aient des failles si c’est le service juridique qui développe.<img data-src=" /><img data-src=" /><img data-src=" />







Ils perdent déjà du temps pour comparer les brevets <img data-src=" /><img data-src=" /><img data-src=" />


votre avatar







Resman a écrit :



On a beau être en 2013, Java ne gère pas l’USB, pas plus que Flash…







Bien sûr que si (pour Java, Flash je ne connais pas).


votre avatar







John Shaft a écrit :



Tu dois avoir l’update 9 et non la 10 <img data-src=" />







effectivement <img data-src=" />



par contre, bien joué l’auto update qui ne met rien à jour…

ça sert à quoi d’avoir la mise à jour auto coché dans les options java… si rien ne se met à jour???

décidément, c’est codé avec les pieds cette affaire…



bon, mis à jour à la mano et navigateurs désactivés <img data-src=" />


votre avatar







bzc a écrit :



Bien sûr que si (pour Java, Flash je ne connais pas).







Par defaut, il y a une lib Java qui gere l’USB ?

OU alors il faut utiliser une lib dédiée comme avec tous les autres langages ?


votre avatar







chambolle a écrit :



Par defaut, il y a une lib Java qui gere l’USB ?

OU alors il faut utiliser une lib dédiée comme avec tous les autres langages ?





Ça dépend pour faire quoi, de manière générale je dirais qu’il faut plutôt une lib. Mais un workaround sympa est de faire apparaître le device USB comme un port COM avec des drivers VCP. Ensuite c’est accessible via System.IO.Ports.



Je précise que j’ai pas une formation de dev donc j’aurais du mal à donner plus de détails mais ce que font des devs dans mon entreprise pour un lecteur de carte.


votre avatar







bzc a écrit :



Bien sûr que si (pour Java, Flash je ne connais pas).







Non. L’exemple que tu donnes est un port série virtuel USB, pas de l’USB en tant que tel. Il n’y a aucune lib qui permette d’accéder à l’USB de manière générique en Java.


votre avatar

J’ai bien désactivé java dans opera:plugins mais il y en a plusieurs.3 exactement. J’ai tout désactivé.

votre avatar







dricks a écrit :



Pour la nième fois, si il y a des gens qui ont encore cette saloperie d’activée, c’est qu’ils méritent de se faire infecter.



“Tous conseillent la désactivation temporaire de Java dans le navigateur web.”

Moi, je conseille la désactivation ferme et définitive.

<img data-src=" />





et à propos de désactiver ton compte pci pour trollage abusif?


votre avatar







Resman a écrit :



Non. L’exemple que tu donnes est un port série virtuel USB, pas de l’USB en tant que tel. Il n’y a aucune lib qui permette d’accéder à l’USB de manière générique en Java.





Au boulot, j’ai un applet Java d’un site qui permet de lire le certificat sur une clé USB, si c’étais possible de faire sa en JS, j’imagine que cela serais fait depuis longtemps.


votre avatar

Pensez à désactiver Flash, JavaScript, et les feuilles de style <img data-src=" />

votre avatar

Pour l’utilisation java-USB il n’y a rien de propre qui existe a ce jour. Les libs tierces relèvent d’usines a gaz.

Il est possible d’écrire lire sur un périphérique USB monté de manière standard en java mais pour tout autre chose (détection de connexion, taille dispo sur periph etc) le plus simple c’est JNA + win32 API (sous win par exemple)

votre avatar

Le site 01NET semble être un vecteur de diffusion d’adware et autre saloperies :http://www.malekal.com/2011/11/28/pctuto-et-01net-le-foutage-de-gueule-continue/

votre avatar

https://addons.mozilla.org/fr/firefox/blocked/p182



Etrange ils disent que c’est désactivé depuis le 30 octobre 2012 mais bon j’y crois pas trop

Surtout qu’ils disent que c’est désactivé alors que dans les modules pour firefox y a marqué le contraire mais peut-être que c’est pas transparent pour l’utilisateur …

votre avatar
votre avatar

Bonne année, Java ! <img data-src=" />

Nouvelle faille déjà exploitée pour Java : prudence recommandée

Fermer