Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Oracle colmate la faille critique de Java 7

Java mieux

Oracle colmate la faille critique de Java 7

Le 31 août 2012 à 07h51

Nous vous informions hier qu’une faille Java, connue par Oracle depuis avril dernier, était désormais exploitée. Alors qu’Oracle ne communiquait pas sur le sujet, la firme propose désormais un correctif.

java

 

Pour rappel, hier encore Oracle n’affichait aucune information au sujet de cette faille critique. Seule apparaissait la prochaine mise à jour prévue pour le 12 octobre, et corrigeant un lot de failles. Mais l’éditeur a changé d’avis : un correctif est en distribution depuis hier soir contre la fameuse brèche... mais pas seulement.

 

Sur le site d’Oracle, la mise à jour contient plusieurs bulletins. L'un cible la fameuse faille CVE-2012-4681 dont on apprend qu'elle est en réalité double. L’éditeur en profite pour lui adjoindre trois autres correctifs qui changent le périmètre d’application de l’ensemble. En effet, les failles CVE-2012-4681 ne concernaient que Java 7 (ou 1.7), alors que cette vague de correctifs touche également Java 6.

 

Conséquence : de très nombreuses machines doivent être mises à jour. En raison d’une exploitation déjà active des failles et de la « divulgation publique de détails techniques », Oracle recommande l’installation aussi rapidement que possible. Les utilisateurs vont donc voir apparaître un signalement de Java pour leur indiquer la disponibilité de la mise à jour, du moins s'ils ont Windows.

 

Cependant, que vous ayez Windows ou un autre OS, nous vous recommandons de récupérer directement et sans attendre l’exécutable correspondant à votre version. Il vaut mieux d'ailleurs récupérer la dernière mouture de Java 7 (estampillée Update 7), d’autant qu’Oracle a récupéré la souveraineté de sa technologie sous OS X. Le téléchargement se fait directement ou via un assistant (sous Windows) et peut peser jusqu'à 50 Mo en fonction du système.

 

Sachez enfin que vous pouvez tout simplement supprimer Java si vous ne l'utilisez jamais. Les sites s'en servant sont devenus très rares, la technologie étant nettement plus utilisée dans le cadre de la mobilité, ou pour certains jeux tels que Minecraft. De manière générale, les composants non utilisés devraient être désinstallés pour réduire la surface de code exposée.

Commentaires (67)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



De manière générale, les composants non utilisés devraient être installés pour réduire la surface de code exposée.





Il faudrait donc que j’installe les composants inutiles java pour augmenter la surface de code exposée <img data-src=" />



Désolé c’est trop tentant <img data-src=" />

votre avatar



En raison d’une exploitation déjà active des failles et de la « divulgation publique de détails techniques »



Faut-il comprendre que, dans leur esprit, tant que ce n’est pas rendu public, il n’est pas nécessaire de corriger ?

‘Fin bon, ils bougent un peu, c’est déjà ça <img data-src=" />

votre avatar



Java mieux





Mais pourquoi j’ai ris… <img data-src=" />

votre avatar







WereWindle a écrit :



Faut-il comprendre que, dans leur esprit, tant que ce n’est pas rendu public, il n’est pas nécessaire de corriger ?

‘Fin bon, ils bougent un peu, c’est déjà ça <img data-src=" />





Une faille non exploité et non exploitable est moins critique qu’une faille exploité c’est normal.


votre avatar







MrCal3x a écrit :



Mais pourquoi j’ai ris… <img data-src=" />







Java pas te le dire, na !



<img data-src=" /><img data-src=" />


votre avatar

C’est la ou on voit les méfaits du rachat de Sun par oracle … :/

votre avatar







the_mei a écrit :



Une faille non exploité et non exploitable est moins critique qu’une faille exploité c’est normal.







Il n’existe pas de faille non exploitable (c’est pas une faille sinon).

Et ce n’est pas parce qu’on ne connaît aucun exemple où elle est exploitée qu’elle ne l’est pas.



Par contre une faille exploitée et publique est clairement critique pour l’image de l’entreprise.


votre avatar







La news a écrit :



[…] la technologie étant nettement plus utilisée dans le cadre de la mobilité, ou pour certains jeux tels que Minecraft.







Je confirme, c’est l’unique raison pour laquelle j’installe Java sur mon PC. <img data-src=" />


votre avatar

Au boulot mes 7 Switch HP utilise JAVA …. Donc pas le choix de mettre à jours pour l’interface web :P.



Quel daube d’ailleur …. Si quelqu’un à déjà réussi via GPO à virer les Java 6 pour balancer la 7 à la place je suis preneur d’infos …. parce que dans le genre j’installe la 7 sans virer la 6 <img data-src=" /> quel daube ce JAVA <img data-src=" /> . A moins qu’il n’y est pas rétrocompatibilité et dans ce cas je comprend mieux. Mais bonjour l’exposition aux failles <img data-src=" /> .



En tout cas ça m’enerve de perdre mon temps sur des conneries de failles à patcher en urgence au boulots <img data-src=" /> . Oracle est une bande de <img data-src=" /> et pour la peine <img data-src=" /> <img data-src=" />

votre avatar

Au final, cette faille aura peut-être contribué à précipiter la disparition de Java, en tout cas sur PC.

Ce qui n’est pas pour me déplaire <img data-src=" />



Franchement, en 2012, pourquoi utiliser un tel machin, lourd et inutile ? Je compte sur les doigts de la main les moments où j’ai dû m’en servir (Gaikai, Minecraft). Et ça ne m’étonnerait pas que ceux-ci abandonnent Java à l’avenir.



Java va sûrement connaître le sort de Flash…

votre avatar







Llywelyn a écrit :



Au final, cette faille aura peut-être contribué à précipiter la disparition de Java, en tout cas sur PC.

Ce qui n’est pas pour me déplaire <img data-src=" />



Franchement, en 2012, pourquoi utiliser un tel machin, lourd et inutile ? Je compte sur les doigts de la main les moments où j’ai dû m’en servir (Gaikai, Minecraft). Et ça ne m’étonnerait pas que ceux-ci abandonnent Java à l’avenir.



Java va sûrement connaître le sort de Flash…





T’as quoi pour le remplacer avec les mêmes fonctionnalités? <img data-src=" />


votre avatar

Dans mon dossier Java j’ai deux dossiers.



jre6

et

jre7



Je ne comprends pas.

Java ne désinstalle pas les versions anterieures lors de MAJ?



Merci <img data-src=" />

votre avatar







Schpountz42 a écrit :



T’as quoi pour le remplacer avec les mêmes fonctionnalités? <img data-src=" />





.net ? <img data-src=" />


votre avatar







drex a écrit :



.net ? <img data-src=" />





Ca passe parcequ’on est ‘dredi <img data-src=" />


votre avatar



que vous ayez Windows ou un autre OS



Bon, maintenant faut que je trouve le patch pour mes machines sous Tru64… Ah ben non on est bloqués en Java 1.4 de toute façon, donc on n’était pas vulnérables <img data-src=" />

votre avatar







drex a écrit :



.net ? <img data-src=" />





T’es sérieux?

Le truc qui regroupe effectivement beaucoup de fonctionnalités dans l’API, mais que si tu tombes sur un besoin non pris en compte par M$, t’es dans la grosse galère? <img data-src=" />

(Témoignage de collègues dev .Net)



Java a l’avantage d’être pas mal communautaire et tu trouves facilement des JAR pour ce qui n’est pas initialement prévu par l’API.



(Non, je ne suis pas dev Java <img data-src=" /> )


votre avatar

Perso j’ai désactivé cette saloperie de mon Firefox, et hop, plus jamais de brèche.

Et pour les sites qui auraient la mauvaise idée de vouloir utiliser le plugin Java, tant pis pour eux, je ferai sans eux.



Je me suis débarassé de ces saloperies d’activeX en faisant mes adieux à IE, c’est pas pour me faire infecter par des plugins alacon.



<img data-src=" />

votre avatar







psn00ps a écrit :



<img data-src=" />



Il ne faudrait pas abuser non plus.

VirtualBox ne s’est jamais porté aussi bien depuis qu’il est passé sous Oracle.







J’avoue Virtualbox est une bénédiction pour moi en ce moment.

Bon ba il reste plus qu’a monter Java dans le domaine du Top comme virtualbox alors <img data-src=" />


votre avatar







dricks a écrit :



Perso j’ai désactivé cette saloperie de mon Firefox, et hop, plus jamais de brèche.

Et pour les sites qui auraient la mauvaise idée de vouloir utiliser le plugin Java, tant pis pour eux, je ferai sans eux.

Je me suis débarassé de ces saloperies d’activeX en faisant mes adieux à IE, c’est pas pour me faire infecter par des plugins alacon.

<img data-src=" />





Oui, enfin Java ce n’est pas QUE pour le net… Il y a pas mal d’applications en entreprise qui sont en java pour faciliter les portages cross-plateformes.







psn00ps a écrit :



<img data-src=" />

Il ne faudrait pas abuser non plus.

VirtualBox ne s’est jamais porté aussi bien depuis qu’il est passé sous Oracle.





Oui, c’est même surprenant… Pourvu que ça dure !


votre avatar

Oracle et comment vider un océan avec un cuillère pour colmater les brèches de java?



<img data-src=" />

votre avatar

Assez désolants les commentaires anti Java sans comprendre ce à quoi ça sert…

De même, les lectures de travers de la phrase



. En raison d’une exploitation déjà active des failles et de la « divulgation publique de détails techniques », Oracle recommande l’installation aussi rapidement que possible.

est aussi ridicule : ils incitent à installer rapidement, ils ne disent pas qu’ils se sont bougés parce que c’était 0-day…



Autant MySQL a suscité à juste titre beaucoup de questions, autant le débat autour du support de Java me semble inepte.



Et non, je bosse pas pour Oracle : il faut reonnaître qu’ils ont les travers habituels des éditeurs ni plus ni moins.

votre avatar







yvan a écrit :



patcher à l’arrache







dans le style de la poudre verte……


votre avatar







scharnhorst a écrit :



Dans mon dossier Java j’ai deux dossiers.



jre6

et

jre7



Je ne comprends pas.

Java ne désinstalle pas les versions anterieures lors de MAJ?



Merci <img data-src=" />



et non, si tu as 19 mises à jour, tu auras 19 installations de la JVM <img data-src=" />


votre avatar



Vincent Hermann a écrit :

Il vaut mieux d’ailleurs récupérer la dernière mouture de Java 7 (estampillée Update 7), d’autant qu’Oracle a récupéré la souveraineté de sa technologie sous OS X.



Pour info sur OSX:



Configuration minimale requise pour Mac OS X :

Ordinateur Mac Intel exécutant la version Mac OS X 10.7.3 (Lion) ou une version supérieure



<img data-src=" />

votre avatar







fubiga a écrit :



dans le style de la poudre verte……





<img data-src=" /> je connaissais pas


votre avatar







Patch a écrit :



et non, si tu as 19 mises à jour, tu auras 19 installations de la JVM <img data-src=" />









Ah ouais quand même <img data-src=" />

Merci.


votre avatar

[quote:4251250:Kiroha]… parce que dans le genre j’installe la 7 sans virer la 6 <img data-src=" /> quel daube ce JAVA <img data-src=" /> . A moins qu’il n’y ait pas rétrocompatibilité et dans ce cas je comprend mieux. Mais bonjour l’exposition aux failles <img data-src=" /> .

/quote]



Pour ma part je suis obligé d’utiliser Java v6 32 bits pour le programme TV Scheduler Pro, en v7 ça ne marche pas et ça fait déconner mon W7 dès qu’un programme utilisant IE se lance genre le carrousel de Vente Privée.

<img data-src=" />

votre avatar







fubiga a écrit :



dans le style de la poudre verte……





Trop fort ce machin <img data-src=" /><img data-src=" /><img data-src=" />


votre avatar







Balzamon a écrit :



Assez désolants les commentaires anti Java sans comprendre ce à quoi ça sert…

De même, les lectures de travers de la phrase

est aussi ridicule : ils incitent à installer rapidement, ils ne disent pas qu’ils se sont bougés parce que c’était 0-day…





En même temps la faille est connue depuis avril et le correctif sort juste après que la faille devienne publique 4 mois plus tard, soit c’est un concours de circonstance, soit ils se sont bougés exprès parce que ça s’est su.


votre avatar

A noter un fort bon article sur la chronologie de cette faille <img data-src=" />

votre avatar







scharnhorst a écrit :



Dans mon dossier Java j’ai deux dossiers.



jre6

et

jre7



Je ne comprends pas.

Java ne désinstalle pas les versions anterieures lors de MAJ?



Merci <img data-src=" />









Patch a écrit :



et non, si tu as 19 mises à jour, tu auras 19 installations de la JVM <img data-src=" />





C’est la même punition pour .NET.

Installé :

.NET 2 SP2, 3SP2, 3.5 SP1, 4 Client, 4 Extended


votre avatar
votre avatar

Le patch anti 0day Java ne sert à rien

http://www.zataz.com/news/22375/oracle–exploit–0day–faille.html



Bon ba rendez vous dans 5 mois !

votre avatar







psn00ps a écrit :



C’est la même punition pour .NET.

Installé :

.NET 2 SP2, 3SP2, 3.5 SP1, 4 Client, 4 Extended







Généralement tu installes le 4 et tout le reste fonctionne (sauf quelques applications particulières).


votre avatar







psikobare a écrit :



un patch fort utile:http://zataz.com/news/22375/oracle–exploit–0day–faille.html





La classe ! <img data-src=" />


votre avatar







A-D a écrit :



Raisons qui sont? Ils ont sûrement mieux que Java c’est de la merde <img data-src=" />





Il y a à la fois des raisons légales (suite au procès Oracle contre Google) et des raisons techniques, c’est ici:

référence

Il faut bien lire toute la discussion pour comprendre.


votre avatar

100 megas le poids de java 7.05

130 megas le poids de java 7.07



je rêve pas là ? <img data-src=" />

votre avatar







Ideal a écrit :



100 megas le poids de java 7.05

130 megas le poids de java 7.07



je rêve pas là ? <img data-src=" />





Ça sent les modifications pour préparer l’arrivée de JavaFX ça. Regardez la taille de lib/ext/jfxrt.jar.


votre avatar

<img data-src=" /> Plus de surface pour plus de failles c’est du bon dis donc !! <img data-src=" />

votre avatar







WereWindle a écrit :



Faut-il comprendre que, dans leur esprit, tant que ce n’est pas rendu public, il n’est pas nécessaire de corriger ?

‘Fin bon, ils bougent un peu, c’est déjà ça <img data-src=" />





Ben c’est qurtout qu’à mon avis d’habitude ils ne se speedent pas autant. C’est un équilibre entre patcher à l’arrache/trop vite au risque de répandre massivement un autre problème et le fait de réagir assez rapidement pour ne pas permettre une exploitation massive du pb.


votre avatar







yvan a écrit :



Ben c’est qurtout qu’à mon avis d’habitude ils ne se speedent pas autant. C’est un équilibre entre patcher à l’arrache/trop vite au risque de répandre massivement un autre problème et le fait de réagir assez rapidement pour ne pas permettre une exploitation massive du pb.





ok <img data-src=" />

La news précédente sur le sujet indiquait qu’ils avait été prévenus de la faille vers en avril. Je comprends bien qu’on ne sort pas un correctif du jour au lendemain mais 4 voire 5 mois, ça fait un peu beaucoup…


votre avatar

Est-ce que LibreOffice utilise toujours Java ?

votre avatar







2show7 a écrit :



Java pas te le dire, na !



<img data-src=" /><img data-src=" />







javamine


votre avatar







Dude76 a écrit :



Est-ce que LibreOffice utilise toujours Java ?





d’après la FAQ de LibreOffice, celui-ci en a toujours besoin pour Base et quelques modules (rapports, solveur…)

Donc oui


votre avatar

Bonjour





Les sites s’en servant sont devenus très rares



Sans statistiques à l’appui, vous auriez mieux fait de vous passer de ça.









Dude76 a écrit :



Est-ce que LibreOffice utilise toujours Java ?





Oui, pour certains modules mais il y a une volonté de changer ça pour des raisons que je ne partage pas.


votre avatar







timhor a écrit :



javamine







Javabien et toi ? (patché)<img data-src=" />


votre avatar







gouessej a écrit :



Bonjour

Sans statistiques à l’appui, vous auriez mieux fait de vous passer de ça.





T’es jamais content.


votre avatar







Dude76 a écrit :



Est-ce que LibreOffice utilise toujours Java ?





De moins en moins. A terme cela ne sera plus du tout.


votre avatar

Oracle, c’est le MAL.



Nan, sans rire. Le correctif est le bienvenue car je suis encore bien dépendant de ce Java <img data-src=" /> J’espère que Oracle va se reprendre et assumer ses responsabilités après avoir racheter Java, ce serait un minimum. <img data-src=" />

votre avatar







WereWindle a écrit :



ok <img data-src=" />

La news précédente sur le sujet indiquait qu’ils avait été prévenus de la faille vers en avril. Je comprends bien qu’on ne sort pas un correctif du jour au lendemain mais 4 voire 5 mois, ça fait un peu beaucoup…





Ca fait un peu beaucoup oui, surtout qu’a priori c’est une fonction à désactiver, pas quelque chose à redévelopper mais je n’ai aucune idée du temps de validation pour ce genre de produits. Pour du progiciel basique déjà on peut atteindre le mois de tests si on est exigeant alors pour quelque chose d’aussi sensible…


votre avatar

Au boulot, on a encore pas mal de sites “métier” qui se basent sur Java (branche 1.6 uniquement au passage). Je vous raconte pas le problème …

votre avatar

Je n’ai jamais su, la branche 6 est touchée par cette faille ou pas? <img data-src=" />

votre avatar







Winderly a écrit :



T’es jamais content.





Cela fait partie du travail de journaliste de s’appuyer sur des sources vérifiées. J’ai trouvé ceci par exemple (c’est pas terrible mais c’est mieux que rien). Je ne pense pas que Java soit installé par hasard. Les gens ne se lèvent pas le matin en de disant “tiens, je vais installer Java. Je ne sais pas à quoi sert ce truc mais on sait jamais”.


votre avatar







gouessej a écrit :



Oui, pour certains modules mais il y a une volonté de changer ça pour des raisons que je ne partage pas.







Raisons qui sont? Ils ont sûrement mieux que Java c’est de la merde <img data-src=" />


votre avatar







xen0m a écrit :



Oracle, c’est le MAL.



Nan, sans rire. Le correctif est le bienvenue car je suis encore bien dépendant de ce Java <img data-src=" /> J’espère que Oracle va se reprendre et assumer ses responsabilités après avoir racheteré Java, ce serait un minimum. <img data-src=" />





<img data-src=" />



Il ne faudrait pas abuser non plus.

VirtualBox ne s’est jamais porté aussi bien depuis qu’il est passé sous Oracle.


votre avatar

En tout cas, ce site a besoin de java pour fonctionner.

votre avatar







fubiga a écrit :



dans le style de la poudre verte……





Soylent Green is people!


votre avatar







dricks a écrit :



Perso j’ai désactivé cette saloperie de mon Firefox, et hop, plus jamais de brèche.

Et pour les sites qui auraient la mauvaise idée de vouloir utiliser le plugin Java, tant pis pour eux, je ferai sans eux.

Je me suis débarassé de ces saloperies d’activeX en faisant mes adieux à IE, c’est pas pour me faire infecter par des plugins alacon.<img data-src=" />



Sur Win8 64bits, il te suffit d’activer l’enhanced protected mode de IE10 desktop, ou d’utiliser IE10 Metro pour avoir un navigateur full 64 bits plus sécurisé et plus performant que FF, just sayin hein ;)


votre avatar







dricks a écrit :



Perso j’ai désactivé cette saloperie de mon Firefox, et hop, plus jamais de brèche.

Et pour les sites qui auraient la mauvaise idée de vouloir utiliser le plugin Java, tant pis pour eux, je ferai sans eux.



Je me suis débarassé de ces saloperies d’activeX en faisant mes adieux à IE, c’est pas pour me faire infecter par des plugins alacon.



<img data-src=" />







Tu vas sûrement halluciné mais les activeX sont beaucoup plus sécurisés que les plugins type Firefox (NPAPI) depuis IE8 : c’est une légende fausse qui existe depuis de nombreuses années et qui rèste figée parce que les gens croient tout et n’importe quoi.



Certains sites traitant la sécurité du web en parle de cette réalité mais j’avoue qu’ils y en a peu.



Je ne dis pas ça parce que je l’ai lu quelques part mais parce que j’ai développé les deux types de plugins.




  • ActiveX s’exécute dans une sandbox très cloisonnée, aucun accès fichier, process sans l’autorisation explicite de l’utilisateur (mettre le site en site de confiance est le moyen le plus rapide)

  • les plugins Firefox sont dans une sandbox non cloisonnée ! Le plugin qui charge dynamiquement une dll placé à côté du plugin, il peut exécuter n’importe quoi sans aucune autorisation de l’utilisateur (accès fichier, boot de la machine…)



    D’après toi lequel type de plugin tu préfères ? <img data-src=" />


votre avatar









dasoft a écrit :



Tu vas sûrement halluciné mais les activeX sont beaucoup plus sécurisés que les plugins type Firefox (NPAPI) depuis IE8 : c’est une légende fausse qui existe depuis de nombreuses années et qui rèste figée parce que les gens croient tout et n’importe quoi.



Certains sites traitant la sécurité du web en parle de cette réalité mais j’avoue qu’ils y en a peu.



Je ne dis pas ça parce que je l’ai lu quelques part mais parce que j’ai développé les deux types de plugins.




  • ActiveX s’exécute dans une sandbox très cloisonnée, aucun accès fichier, process sans l’autorisation explicite de l’utilisateur (mettre le site en site de confiance est le moyen le plus rapide)

  • les plugins Firefox sont dans une sandbox non cloisonnée ! Le plugin qui charge dynamiquement une dll placé à côté du plugin, il peut exécuter n’importe quoi sans aucune autorisation de l’utilisateur (accès fichier, boot de la machine…)



    D’après toi lequel type de plugin tu préfères ? <img data-src=" />





    Je prends FF / Linux parce que ton ActiveX sécurisé dans sa sandbox qui s’éxécute sur un système qui traite tout comme étant exécutable par défaut (exemple : charge malveillante dans les en-têtes de fichiers JPG, AVI…) et dont seul C:\PROGRAM FILES est protégé par UAC (à condition qu’il n’ait pas été désactivé) ne sera jamais aussi sécurisé qu’un FF qui s’exécute sur une machine où TOUT le système de fichier est protégé à l’exception du dossier utilisateur, qu’on peut lui-même rendre globalement non-exécutable par une simple option à l’installation, ou après ; ce système gère par défaut tous les fichiers comme non-exécutable, une bonne sécurité. Après, tu peux toujours admirer les rustines de ton bac à sable…


votre avatar

Linux Mint 13 avec Cinnamon. Pas de soucis d’interface, Cinnamon ça poutre ! Pas de soucis de driver, enfin moins qu’avec Win7 (scanner EPSON non reconnu / Win, fonctionnel avec le firmware / Linux). Pas de SUN-JRE, juste OpenJRE pour Libreoffice, donc pas d’ennui avec les failles de chez Oracle. Enfin /home monté en noexec donc même si un truc arrive à se copier dans mon répertoire utilisateur à la faveur d’une faille non autorisé, le noyau refusera de l’exécuter de toute façon.

votre avatar

Vous inquiétez pas, sous Linux l’exploit qui tourne sur le net ne fonctionne pas (essayé moi même et confirmé ici). Ça veux pas dire qu’il n’y a pas de faille sous Linux mais les quelques différences d’implémentation du plugin font que ça demande un tout autre travail que les pirates ne feront jamais pour 1% de pdm.



On peut bien me supprimer mes posts mais je répète, une vraie solution c’est de sortir du troupeau.



Quand même je me demande qui trolle… conseiller de supprimer la fonctionnalité c’est pas une solution ça. Si les gens ont besoin de java ils l’ont, si ils en ont pas besoin ils l’ont pas. En plus le correctif est sorti. Bref… <img data-src=" />

votre avatar







satandierbis a écrit :



Vous inquiétez pas, sous Linux l’exploit qui tourne sur le net ne fonctionne pas (essayé moi même et confirmé ici). Ça veux pas dire qu’il n’y a pas de faille sous Linux mais les quelques différences d’implémentation du plugin font que ça demande un tout autre travail que les pirates ne feront jamais pour 1% de pdm.



On peut bien me supprimer mes posts mais je répète, une vraie solution c’est de sortir du troupeau.



Quand même je me demande qui trolle… conseiller de supprimer la fonctionnalité c’est pas une solution ça. Si les gens ont besoin de java ils l’ont, si ils en ont pas besoin ils l’ont pas. En plus le correctif est sorti. Bref… <img data-src=" />







J’adore ce genre de solution …




  • windows est “ciblé” car il represente la plus grosse part de marché

  • Linux n’est pas ciblé car il ne represente pas une grosse part de marché

  • il faut quitter windows pour ne plus être touché

  • COMMENT CA LINUX EST CIBLE AUSSI MAINTENANT ?!?!

    <img data-src=" />




votre avatar







atomusk a écrit :



J’adore ce genre de solution …




  • windows est “ciblé” car il represente la plus grosse part de marché

  • Linux n’est pas ciblé car il ne represente pas une grosse part de marché

  • il faut quitter windows pour ne plus être touché

  • COMMENT CA LINUX EST CIBLE AUSSI MAINTENANT ?!?!

    <img data-src=" />





    Bah ouai, et après faudra quitter Linux pour Windows puisque tout le monde sera parti sur Linux <img data-src=" />


votre avatar







CaptainDangeax a écrit :



Je prends FF / Linux parce que ton ActiveX sécurisé dans sa sandbox qui s’éxécute sur un système qui traite tout comme étant exécutable par défaut (exemple : charge malveillante dans les en-têtes de fichiers JPG, AVI…) et dont seul C:\PROGRAM FILES est protégé par UAC (à condition qu’il n’ait pas été désactivé) ne sera jamais aussi sécurisé qu’un FF qui s’exécute sur une machine où TOUT le système de fichier est protégé à l’exception du dossier utilisateur, qu’on peut lui-même rendre globalement non-exécutable par une simple option à l’installation, ou après ; ce système gère par défaut tous les fichiers comme non-exécutable, une bonne sécurité. Après, tu peux toujours admirer les rustines de ton bac à sable…







Tu changes de sujet là, on parle sécurité de plugin et toi tu parles de sécurité de l’OS… <img data-src=" />


votre avatar







dasoft a écrit :



Tu changes de sujet là, on parle sécurité de plugin et toi tu parles de sécurité de l’OS… <img data-src=" />





Amusant, ton petit smiley. N’oublie pas que l’exploit se passe sur une machine virtuelle, qui est un plugin d’un explorateur, qui s’exécute dans un système d’exploitation sur un ordinateur. Ce que je veux dire, c’est que tu peux mettre toutes les sécurités que tu veux, la résistance de la chaîne est celle de son maillon le plus faible. En d’autres termes, il faut renforcer L’ENSEMBLE des maillons, pas seulement un seul, et éliminer les maillons faibles. Allez, au revoir…


votre avatar







CaptainDangeax a écrit :



Amusant, ton petit smiley. N’oublie pas que l’exploit se passe sur une machine virtuelle, qui est un plugin d’un explorateur, qui s’exécute dans un système d’exploitation sur un ordinateur. Ce que je veux dire, c’est que tu peux mettre toutes les sécurités que tu veux, la résistance de la chaîne est celle de son maillon le plus faible. En d’autres termes, il faut renforcer L’ENSEMBLE des maillons, pas seulement un seul, et éliminer les maillons faibles. Allez, au revoir…







Je suis d’accord avec toi qu’il faut corriger les failles à tous les niveaux mais il faut toujours garder en tête que la source du problème est à colmater en 1er, ici le plugin.


Oracle colmate la faille critique de Java 7

Fermer