Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Java : une faille critique, un milliard de PC potentiellement vulnérables

La java des bombes atomiques

Java : une faille critique, un milliard de PC potentiellement vulnérables

Le 27 septembre 2012 à 08h08

Java fait une nouvelle fois parler de lui et de sa sécurité. Une faille critique a été découverte et son impact est potentiellement très important puisqu’elle affecte les versions 5, 6 et 7 de l’environnement. Le découvreur de la faille estime ainsi que plus d’un milliard de personnes pourraient être touchées.

java

Une faille critique pour Java 5, 6 et 7

Fin août, une faille critique était découverte au sein de Java. En l’espace de quelques jours, le sujet avait fait le tour des médias spécialisés et des exploitations avaient été découvertes. De nombreux experts en sécurité recommandaient alors de désactiver Java le temps que le correctif arrive. Oracle avait réagi promptement en publiant ensuite le fameux correctif.

 

La nouvelle faille dispose visiblement d’un large potentiel de destruction. D’une part, elle affecte les versions 5, 6 et 7 de la machine virtuelle, même quand elles sont à jour. D’autre part, Java oblige, elle peut toucher les utilisateurs de tout système d’exploitation où Java est installé. Enfin, et surtout, la faille permet de violer une règle de sécurité jugée comme fondamentale dans la sandbox de la machine virtuelle, permettant ainsi de traverser son périmètre de sécurité qui l’isole normalement du système d’exploitation.

 

Les moutures touchées de Java comprennent en outre les dernières préversions pour les développeurs :

  • Java SE 5 Update 22 (build 1.5.0_22-b03)
  • Java SE 6 Update 35 (build 1.6.0_35-b10)
  • Java SE 7 Update 7  (build 1.7.0_07-b10)

Les tests ont été réalisés avec l’ensemble des navigateurs et toutes les dernières versions (ou presque) ont été impactées, une conséquence logique puisque Java ne dépend pas du butineur. Par ailleurs, ces tests ont été menés sous un Windows 7 32 bits à jour, mais l’exploitation fonctionnerait sur d’autres plateformes, notamment OS X. À noter que pour ce dernier, Snow Leopard était le dernier système à intégrer systématiquement Java. Toutefois, dans les cas de Lion et Mountain Lion, le moindre besoin de l’environnement en proposait le téléchargement. Plus récemment, Oracle a récupéré la pleine maitrise de Java sur OS X, mais la faille est présente puisque la machine virtuelle est la même que celle distribuée (entre autres) sous Windows.

Pas d'exploitation active pour le moment

L’annonce de la découverte a été faite par Adam Gowdiak, PDG de la société polonaise Security Explorations, sur la mailing list Full Disclosure. Interrogé par Computer World, Gowdiak indique que cette faille est plus dangereuse que celle du mois dernier qui ne touchait que Java 7. Il indique par ailleurs avoir découvert la brèche la semaine dernière mais n’avoir averti Oracle que mardi, prenant le temps de créer un proof-of-concept, c’est-à-dire un morceau de code permettant de mettre la faille en évidence.

 

Selon Adam Gowdiak, Oracle a reconnu l’existence de la faille hier. Mais la question qui se pose maintenant est bien sûr celle de sa correction. Or, Oracle ne compterait pas diffuser de patch avant le prochain cycle de mises à jour, prévu pour le 16 octobre. Bien que ces trois semaines de vide puissent être dommageables, signalons que le contexte est très différent de la faille de fin août : à l’heure actuelle, aucune exploitation active n’aurait été détectée selon Gowdiak. En outre, on peut noter sur Full Disclosure qu’il donne très peu de détails réels sur la faille, rabrouant d’ailleurs un participant qui le lui faisait remarquer.

 

Mais en attendant, que faire ? Le conseil de Gowdiak est le même que celui du mois dernier : désactiver la machine virtuelle Java le temps qu’un correctif soit déployé par Oracle. En attendant que l’éditeur ne se manifeste (sa liste des alertes de sécurité n’a pas été mise à jour pour l’instant), nous vous signalons à nouveau ci-dessous les méthodes de désactivation dans les navigateurs les plus courants. 

Désactiver Java

  • Internet Explorer

Se rendre dans les Options Internet, puis dans l’onglet Programmes. Cliquer sur « Gérer les modules complémentaires » et chercher Java dans la liste :

 

java

  • Firefox

Se rendre dans le menu Outils, puis cliquer sur Modules Complémentaires :

 

java

  • Chrome

Cliquer sur la clé à molette en haut à droite du navigateur, puis sur Paramètres. Cliquez sur le bouton Paramètres de contenu dans la zone « Confidentialité », puis sur le lien « Désactiver les plug-ins individuels » dans la partie « Plug-ins » :

 

java java

  • Safari

Se rendre dans les paramètres du navigateur, puis dans l’onglet Sécurité :

 

java

Commentaires (46)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







ActionFighter a écrit :



Quand je vois la version qu’on a au taf, je me dis qu’il y a un sacré problème de gestion des risques informatiques <img data-src=" />







Au contraire, c’est de l’attentisme hautement sécuritaire !

affecte les versions 5, 6 et 7

<img data-src=" />


votre avatar

désactivé par défaut par Firefox chez moi, de plus j’ai noscript qui bloque tout (vraiment tout… un peu galère par moment, mais bon c’est plus safe ainsi)

votre avatar







ActionFighter a écrit :



Quand je vois la version qu’on a au taf, je me dis qu’il y a un sacré problème de gestion des risques informatiques <img data-src=" />







Ben du coup tu es tranquille concernant cette faille: elle ne touche que les version 5,6 et 7 <img data-src=" />


votre avatar



La java des bombes atomiques



<img data-src=" />

votre avatar

Sur Chrome j’ai pas de clef à molette, je fais comment ? <img data-src=" />

votre avatar







NeVeS a écrit :



T’es presque plus à l’abris avec ta version 4 qu’avec la nouvelle version 7 qui rajoute plein de fonctionnalités/vulnérabilités.









Groumfy a écrit :



Au contraire, c’est de l’attentisme hautement sécuritaire ! <img data-src=" />









kvasir a écrit :



Ben du coup tu es tranquille concernant cette faille: elle ne touche que les version 5,6 et 7 <img data-src=" />





Maintenant je comprend mieux pourquoi on est toujours sous Xp/IE6 <img data-src=" />


votre avatar







XalG a écrit :



Sur Chrome j’ai pas de clef à molette, je fais comment ? <img data-src=" />





Prends la clé de 12


votre avatar

Petit côté sympa de IE10 au passage : après ajout d’un plugin, il est désactivé par défaut et un popup propose de l’activer ou non (avec analyse de l’impact sur le temps de démarrage du navigateur). Du coup, je n’ai rien d’activé ! <img data-src=" />

votre avatar

Ah, il faudra que j’y pense si Firefox decide de le bloquer automatiquement. J’utilise pas mal de “java plug-in” pour le boulot (exemple

votre avatar







XalG a écrit :



Sur Chrome j’ai pas de clef à molette, je fais comment ? <img data-src=" />





petits traits horizontaux je crois <img data-src=" />


votre avatar

Donc linux et MacOS st touchés aussi?



<img data-src=" />

votre avatar







ActionFighter a écrit :



Maintenant je comprend mieux pourquoi on est toujours sous Xp/IE6 <img data-src=" />







Ah vous aussi ? <img data-src=" />


votre avatar

Mais concrètement, que permet de faire cette faille ?

votre avatar







Bourriks a écrit :



Mais concrètement, que permet de faire cette faille ?





ça permet de faire une news sur pci, à nous tous de la lire et à moi parmi d’autres de la commenter..<img data-src=" />


votre avatar







Bourriks a écrit :



Mais concrètement, que permet de faire cette faille ?





Rien, la faille n’a pas été divulguée, elle n’est pas exploitée, elle sera patchée.



C’est comme ça que ça se passe pour tous les logiciels quand un chercheur indépendant trouve une faille.



Mais là c’est Java… le ton catastrophiste est de rigueur de la part de notre journaliste spécialisé OS & Microsoft


votre avatar



I don’t see any details?

This list is “full disclosure”, not “touch self in public”.



<img data-src=" />



Non mais sérieux, à quoi bon faire du teasing maintenant, en sachant qu’ils ne donneront aucun détail sur la faille ?! <img data-src=" />


votre avatar







satandierbis a écrit :



Rien, la faille n’a pas été divulguée, elle n’est pas exploitée, elle sera patchée.



C’est comme ça que ça se passe pour tous les logiciels quand un chercheur indépendant trouve une faille.



Mais là c’est Java… le ton catastrophiste est de rigueur de la part de notre journaliste spécialisé OS & Microsoft







+1 sans parler de l’amalgame consternant entre plugin java pour des applet in-browser, le langage java en lui-même, et implémentation java (jdk) + sa biblio standard. Seul le premier (et également de loin le moins utilisé de nos jours) pose un réel souci. Mais avec tout ce tapage journalistique insensé, on va probablement parvenir à faire désinstaller tout java à des utilisateurs heureux d’azureus, jdownloader, … qui ne se doutaient même pas qu’ils utilisaient java tous les jours en toute sécurité <img data-src=" />


votre avatar

sous Firefox c’est déactivé par défaut

votre avatar

Moyen de faire une désactivation des plugins via une GPO sous active directory ? (sans désinstaller java pour autant <img data-src=" />)

votre avatar







nick_t a écrit :



Ah vous aussi ? <img data-src=" />





Plus pour longtemps. On devrait passer a seven/IE9 sous peu.



Heureusement, en attendant, en tant que dev, j’ai droit à FF <img data-src=" />


votre avatar

Je ne dirais qu’un mot: OpenJDK / Linux. Jdownloader fonctionne avec, alors…

votre avatar







satandierbis a écrit :



Rien, la faille n’a pas été divulguée, elle n’est pas exploitée, elle sera patchée.



C’est comme ça que ça se passe pour tous les logiciels quand un chercheur indépendant trouve une faille.



Mais là c’est Java… le ton catastrophiste est de rigueur de la part de notre journaliste spécialisé OS & Microsoft







Sûr ? Il me semble avoir vu les codes d’exploitations des galaxy S3 et j’ai trouvé un code d’exploitation d’une des dernières failles java 7 ( celles de cet été) sur developpez.net. Me semble pas que la non divulgation de faille soit systématique.


votre avatar







Bourriks a écrit :



Mais concrètement, que permet de faire cette faille ?







C’est toujours sensiblement la même chose, ça permet d’exécuter du code malveillant avec les droits maximums en utilisant une fonction du langage mal sécurisée : Souvent en écrasant une zone mémoire qui n’aurai pas du l’être.

Ainsi tu installes ce que tu veux : des keyloggers, des ouvertures de ports etc …



votre avatar







Bourriks a écrit :



Mais concrètement, que permet de faire cette faille Java ?







<img data-src=" /> (encore que… demi-troll en fait vu que Java, dans mon expérience en tout cas, c’est plus ce que c’était en environnement pro)







CaptainDangeax a écrit :



Je ne dirais qu’un mot: OpenJDK / Linux. Jdownloader fonctionne avec, alors…







Exact et c’est bien dommage. Il reste encore de gros morceaux de Java dans LO aussi, non ?







ActionFighter a écrit :



Maintenant je comprend mieux pourquoi on est toujours sous Xp/IE6 <img data-src=" />







Accroche-toi : sur le fofo de HFR, un gars vient de nous parler d’un webapp qui n’est compatible qu’avec.. FF 3.5 !!



http://forum.hardware.fr/hfr/Discussions/Loisirs/topic-incultes-informatique-suj…



(je suis sur ledit fil sous le pseudo GibiShadok)



votre avatar

<img data-src=" /><img data-src=" /><img data-src=" /> Pour le sous-titre.

votre avatar







ActionFighter a écrit :



Quand je vois la version qu’on a au taf, je me dis qu’il y a un sacré problème de gestion des risques informatiques <img data-src=" />

java version “1.4.2_04”





Chez nous : IE 7, Firefox 3.6.17. Enfin, pour ceux qui sont sous Windows. <img data-src=" />


votre avatar

<img data-src=" />



Puisque c’est comme ça, je me déconnecté d’int

votre avatar

Ca existe encore les inconscients qui laissent cette saloperie de Java activée dans leur navigateur ?

SI c’est le cas, c’est qu’ils méritent de se faire infecter.

<img data-src=" />

votre avatar







IAmNotANumber a écrit :



Accroche-toi : sur le fofo de HFR, un gars vient de nous parler d’un webapp qui n’est compatible qu’avec.. FF 3.5 !!



http://forum.hardware.fr/hfr/Discussions/Loisirs/topic-incultes-informatique-suj…



(je suis sur ledit fil sous le pseudo GibiShadok)





<img data-src=" />


votre avatar







fwak a écrit :



<img data-src=" />



Puisque c’est comme ça, je me déconnecté d’int







Même non connecté tu peux te prendre un virus, le mieux est de débrancher.



votre avatar







satandierbis a écrit :



Rien, la faille n’a pas été divulguée, elle n’est pas exploitée, elle sera patchée.



C’est comme ça que ça se passe pour tous les logiciels quand un chercheur indépendant trouve une faille.



Mais là c’est Java… le ton catastrophiste est de rigueur de la part de notre journaliste spécialisé OS & Microsoft





Et quel ton devrait-il prendre? “tout va très bien”, on continue de trouver des failles qui peuvent toucher des millions de pc assez régulièrement, mais tout baigne?!



Franchement, divulgué ou non, ça reste assez problématique quand ça peut toucher autant de machines…


votre avatar







satandierbis a écrit :



Rien, la faille n’a pas été divulguée, elle n’est pas exploitée, elle sera patchée.



C’est comme ça que ça se passe pour tous les logiciels quand un chercheur indépendant trouve une faille.



Mais là c’est Java… le ton catastrophiste est de rigueur de la part de notre journaliste spécialisé OS & Microsoft







L’actu PCI ne signale que la fonctionnalité intégrée aux navigateurs.

Pas uniquement. Une majorité d’utilisateurs installe Java alors qu’une minorité utilise les applets.



Il se pourrait très bien que ça concerne aussi le JRE, via une attaque en local.


votre avatar

Firefox me l’a désactivé tout seul hier. J’ai installé l’update 7 pensant que ce n’était qu’une erreur.

votre avatar

Pour Opera:

Taper opera:plugins dans la barre d’adresse et chercher “Java Applet Plug-in”.

screenshot

votre avatar

en tant qu’utilisateur “lambda” (pas complètement noob non plus), je me rend compte que java ne me sert finalement à rien…

votre avatar

Quand je vois la version qu’on a au taf, je me dis qu’il y a un sacré problème de gestion des risques informatiques <img data-src=" />





java -version

java version “1.4.2_04”

Java™ 2 Runtime Environment, Standard Edition (build 1.4.2_04-b05)

Java HotSpot™ Client VM (build 1.4.2_04-b05, mixed mode)

votre avatar

Ça sera toujours la même rengaine, tant qu’on continuera à imposer ce plugin Java inutile dans les navigateurs Web.

votre avatar







ActionFighter a écrit :



Quand je vois la version qu’on a au taf, je me dis qu’il y a un sacré problème de gestion des risques informatiques <img data-src=" />







T’es presque plus à l’abris avec ta version 4 qu’avec la nouvelle version 7 qui rajoute plein de fonctionnalités/vulnérabilités.


votre avatar

Ca merdouille sévère en ce moment java, quand est-ce qu’ils vont relever la tête?

votre avatar

Je viens de voir que je ne l’avais toujours pas réactivé ^^

votre avatar

Comme d’autres commentaires, Java était toujours désactivé chez moi depuis la précédente faille, je l’avais oublié.

Et je n’ai aucun problème sans Java, tout fonctionne.

Quoi que ça sert au final, autant le virer à tout jamais <img data-src=" />

votre avatar







IAmNotANumber a écrit :



Accroche-toi : sur le fofo de HFR, un gars vient de nous parler d’un webapp qui n’est compatible qu’avec.. FF 3.5 !!



http://forum.hardware.fr/hfr/Discussions/Loisirs/topic-incultes-informatique-suj…



(je suis sur ledit fil sous le pseudo GibiShadok)







<img data-src=" /> excellent pour avoir un regain de bonne humeur, merci ! (click….click …click ^^)



Sinon pareil pour moi, plugin désactivé depuis un bail… update 32 soit pas réactivé depuis au moins le 26 avril 2012 (je l’ai peut être mis à jour entre temps, cela peut être plus vieux encore).


votre avatar







Marco07 a écrit :



Et quel ton devrait-il prendre? “tout va très bien”, on continue de trouver des failles qui peuvent toucher des millions de pc assez régulièrement, mais tout baigne?!



Franchement, divulgué ou non, ça reste assez problématique quand ça peut toucher autant de machines…





Je pense que c’est très souvent que des chercheurs en sécurité trouvent des failles et communiquent les détails à l’éditeur du logiciel. Entre la découverte et la correction il se passe du temps (exemple 9 mois -&gt;http://seclists.org/fulldisclosure/2012/Aug/58 pour une faille qui touche tous les windows donc, 6 milliards de personnes). L’important c’est que ce soit pas divulgué. Ici c’est pas divulgué.



Euh aussi les failles touchant IE (navigateur qui comme java sert à rien) affectent des milliard d’utilisateurs. Qui désinstalle IE ? C’est possible ? Je sais pas comment faire mais ce serait bien si pcinpact pouvait me le dire… ben non.


votre avatar







Edtech a écrit :



Petit côté sympa de IE10 au passage : après ajout d’un plugin, il est désactivé par défaut et un popup propose de l’activer ou non (avec analyse de l’impact sur le temps de démarrage du navigateur). Du coup, je n’ai rien d’activé ! <img data-src=" />







<img data-src=" />



C’est la grosse m*rde les applis qui désactivent les plugins en opt-out ! <img data-src=" />



Je pense par ex. aux dernières versions de Firefox ou Thunderbird…

Perso au taf, je fournis le plugin Lightning (directement décompressé dans ProgFile/Thunderbird/extensions), et ça me gonfle de voir débarquer la moitié du monde, affolé, pensant avoir “perdu” son agenda ! <img data-src=" /> <img data-src=" />



Bon d’acc ! c’est toujours l’interface chaise-clavier qui sait pas lire… <img data-src=" /> <img data-src=" />


votre avatar







satandierbis a écrit :



Je pense que c’est très souvent que des chercheurs en sécurité trouvent des failles et communiquent les détails à l’éditeur du logiciel. Entre la découverte et la correction il se passe du temps (exemple 9 mois -&gt;http://seclists.org/fulldisclosure/2012/Aug/58 pour une faille qui touche tous les windows donc, 6 milliards de personnes). L’important c’est que ce soit pas divulgué. Ici c’est pas divulgué.



Euh aussi les failles touchant IE (navigateur qui comme java sert à rien) affectent des milliard d’utilisateurs. Qui désinstalle IE ? C’est possible ? Je sais pas comment faire mais ce serait bien si pcinpact pouvait me le dire… ben non.





Et? C’est pas parce que c’est pas divulgué que c’est moins inquiétant.

<img data-src=" />


votre avatar

Java ne sert qu’a ceux qui y travaillent <img data-src=" />, le reste c’est des victimes <img data-src=" />

Java : une faille critique, un milliard de PC potentiellement vulnérables

  • java

Fermer