Java fait une nouvelle fois parler de lui et de sa sécurité. Une faille critique a été découverte et son impact est potentiellement très important puisqu’elle affecte les versions 5, 6 et 7 de l’environnement. Le découvreur de la faille estime ainsi que plus d’un milliard de personnes pourraient être touchées.
Une faille critique pour Java 5, 6 et 7
Fin août, une faille critique était découverte au sein de Java. En l’espace de quelques jours, le sujet avait fait le tour des médias spécialisés et des exploitations avaient été découvertes. De nombreux experts en sécurité recommandaient alors de désactiver Java le temps que le correctif arrive. Oracle avait réagi promptement en publiant ensuite le fameux correctif.
La nouvelle faille dispose visiblement d’un large potentiel de destruction. D’une part, elle affecte les versions 5, 6 et 7 de la machine virtuelle, même quand elles sont à jour. D’autre part, Java oblige, elle peut toucher les utilisateurs de tout système d’exploitation où Java est installé. Enfin, et surtout, la faille permet de violer une règle de sécurité jugée comme fondamentale dans la sandbox de la machine virtuelle, permettant ainsi de traverser son périmètre de sécurité qui l’isole normalement du système d’exploitation.
Les moutures touchées de Java comprennent en outre les dernières préversions pour les développeurs :
- Java SE 5 Update 22 (build 1.5.0_22-b03)
- Java SE 6 Update 35 (build 1.6.0_35-b10)
- Java SE 7 Update 7 (build 1.7.0_07-b10)
Les tests ont été réalisés avec l’ensemble des navigateurs et toutes les dernières versions (ou presque) ont été impactées, une conséquence logique puisque Java ne dépend pas du butineur. Par ailleurs, ces tests ont été menés sous un Windows 7 32 bits à jour, mais l’exploitation fonctionnerait sur d’autres plateformes, notamment OS X. À noter que pour ce dernier, Snow Leopard était le dernier système à intégrer systématiquement Java. Toutefois, dans les cas de Lion et Mountain Lion, le moindre besoin de l’environnement en proposait le téléchargement. Plus récemment, Oracle a récupéré la pleine maitrise de Java sur OS X, mais la faille est présente puisque la machine virtuelle est la même que celle distribuée (entre autres) sous Windows.
Pas d'exploitation active pour le moment
L’annonce de la découverte a été faite par Adam Gowdiak, PDG de la société polonaise Security Explorations, sur la mailing list Full Disclosure. Interrogé par Computer World, Gowdiak indique que cette faille est plus dangereuse que celle du mois dernier qui ne touchait que Java 7. Il indique par ailleurs avoir découvert la brèche la semaine dernière mais n’avoir averti Oracle que mardi, prenant le temps de créer un proof-of-concept, c’est-à-dire un morceau de code permettant de mettre la faille en évidence.
Selon Adam Gowdiak, Oracle a reconnu l’existence de la faille hier. Mais la question qui se pose maintenant est bien sûr celle de sa correction. Or, Oracle ne compterait pas diffuser de patch avant le prochain cycle de mises à jour, prévu pour le 16 octobre. Bien que ces trois semaines de vide puissent être dommageables, signalons que le contexte est très différent de la faille de fin août : à l’heure actuelle, aucune exploitation active n’aurait été détectée selon Gowdiak. En outre, on peut noter sur Full Disclosure qu’il donne très peu de détails réels sur la faille, rabrouant d’ailleurs un participant qui le lui faisait remarquer.
Mais en attendant, que faire ? Le conseil de Gowdiak est le même que celui du mois dernier : désactiver la machine virtuelle Java le temps qu’un correctif soit déployé par Oracle. En attendant que l’éditeur ne se manifeste (sa liste des alertes de sécurité n’a pas été mise à jour pour l’instant), nous vous signalons à nouveau ci-dessous les méthodes de désactivation dans les navigateurs les plus courants.
Désactiver Java
- Internet Explorer
Se rendre dans les Options Internet, puis dans l’onglet Programmes. Cliquer sur « Gérer les modules complémentaires » et chercher Java dans la liste :
- Firefox
Se rendre dans le menu Outils, puis cliquer sur Modules Complémentaires :
- Chrome
Cliquer sur la clé à molette en haut à droite du navigateur, puis sur Paramètres. Cliquez sur le bouton Paramètres de contenu dans la zone « Confidentialité », puis sur le lien « Désactiver les plug-ins individuels » dans la partie « Plug-ins » :
- Safari
Se rendre dans les paramètres du navigateur, puis dans l’onglet Sécurité :
Commentaires (46)
Firefox me l’a désactivé tout seul hier. J’ai installé l’update 7 pensant que ce n’était qu’une erreur.
Pour Opera:
Taper opera:plugins dans la barre d’adresse et chercher “Java Applet Plug-in”.
screenshot
en tant qu’utilisateur “lambda” (pas complètement noob non plus), je me rend compte que java ne me sert finalement à rien…
Quand je vois la version qu’on a au taf, je me dis qu’il y a un sacré problème de gestion des risques informatiques
" />
java -version
java version “1.4.2_04”
Java™ 2 Runtime Environment, Standard Edition (build 1.4.2_04-b05)
Java HotSpot™ Client VM (build 1.4.2_04-b05, mixed mode)
Ça sera toujours la même rengaine, tant qu’on continuera à imposer ce plugin Java inutile dans les navigateurs Web.
désactivé par défaut par Firefox chez moi, de plus j’ai noscript qui bloque tout (vraiment tout… un peu galère par moment, mais bon c’est plus safe ainsi)
La java des bombes atomiques
Sur Chrome j’ai pas de clef à molette, je fais comment ?
" />
Petit côté sympa de IE10 au passage : après ajout d’un plugin, il est désactivé par défaut et un popup propose de l’activer ou non (avec analyse de l’impact sur le temps de démarrage du navigateur). Du coup, je n’ai rien d’activé !
" />
Ah, il faudra que j’y pense si Firefox decide de le bloquer automatiquement. J’utilise pas mal de “java plug-in” pour le boulot (exemple
Donc linux et MacOS st touchés aussi?
" />
Mais concrètement, que permet de faire cette faille ?
I don’t see any details?
This list is “full disclosure”, not “touch self in public”.
Non mais sérieux, à quoi bon faire du teasing maintenant, en sachant qu’ils ne donneront aucun détail sur la faille ?!
sous Firefox c’est déactivé par défaut
Moyen de faire une désactivation des plugins via une GPO sous active directory ? (sans désinstaller java pour autant
" />)
Je ne dirais qu’un mot: OpenJDK / Linux. Jdownloader fonctionne avec, alors…
Puisque c’est comme ça, je me déconnecté d’int
Ca existe encore les inconscients qui laissent cette saloperie de Java activée dans leur navigateur ?
" />
SI c’est le cas, c’est qu’ils méritent de se faire infecter.
Ca merdouille sévère en ce moment java, quand est-ce qu’ils vont relever la tête?
Je viens de voir que je ne l’avais toujours pas réactivé ^^
Comme d’autres commentaires, Java était toujours désactivé chez moi depuis la précédente faille, je l’avais oublié.
" />
Et je n’ai aucun problème sans Java, tout fonctionne.
Quoi que ça sert au final, autant le virer à tout jamais
Java ne sert qu’a ceux qui y travaillent
" />, le reste c’est des victimes 
" />