Faille Java 0-day : Oracle alerté depuis avril 2012

Café bouillu

Faille Java 0-day : Oracle alerté depuis avril 2012

Faille Java 0-day : Oracle alerté depuis avril 2012

Une faille très sérieuse dans Java 1.7 est apparue le 26 août, à la faveur d’une annonce de FireEye, une société de sécurité. Outre la dangerosité elle-même de la faille, aggravée par les détails de son exposition, on apprend aujourd'hui que Oracle était informé de cette faille depuis avril 2012.

Ce n’est pas la première fois qu’apparaît une faille Java 0-day, c’est-à-dire exploitée avant même que le public ne soit au courant et protégé. La faille est critique, car elle peut être exploitée à distance, depuis un serveur infecté et des applets Java spécialement conçus. Une faille d’autant plus dangereuse qu’elle peut être exploitée sur tous les systèmes. Cependant, la brèche désormais connue sous l’appellation CVE-2012-4681 a davantage marqué les esprits par un concours malheureux d’évènements qui pose aujourd’hui la question de la responsabilité.

 

Tout commence avec la révélation de FireEye le 26 août. La société révèle une série de détails à propos d’une trouvaille intervenue dans le cadre d’une attaque spécialisée sur l’un de ses clients (une version que contredit Eric Romangne de Zataz). La présentation de FireEye est le départ d’une course entre les chercheurs qui vont s’empresser de trouver ladite faille grâce aux informations fournies. L’objectif : publier des rapports plus complets et des codes de démonstration (PoC, Proof of Concept).

Les kits d'exploitation ont été rapidement mis à jour

Ici, la situation dérape, car la frontière est mince entre l'information et son exploitation. Rapidement, des kits d’exploitation de failles vont intégrer ces données pour se mettre à la page. C’est le cas notamment du Blackhole Exploit Kit qui bénéficie d’une annonce de son auteur à ce sujet. L’éditeur antivirus Sophos publie d’ailleurs un billet sur son blog pour le confirmer, dans lequel non seulement il recommande de désactiver Java mais accuse également Oracle (qui possède Java) d’être au courant depuis le mois d’avril.

 

Comme l’indique Eric Freyssinet, chef de la division de lutte contre la cybercriminalité de la gendarmerie nationale, d’autres kits d’exploitation suivent très rapidement. C’est le cas notamment de Sakura, suivi de près par Sweet orange. Dans la foulée, l’éditeur Rapid7 annonce que sa plateforme de tests d’intrusion Metasploit intègre également la nouvelle faille. Tout va très vite, au point qu’Eugène Kaspersky, fondateur de l’éditeur du même nom, se fâche sur Twitter et parle d’irresponsabilité dans les annonces :

 

 

Une exploitation active et le silence d'Oracle

Mais le vrai problème vient sans doute d’Oracle. Comme le précise Eric Freyssinet, il n’est pas rare qu’une faille ne soit pas corrigée tout de suite. Les grands éditeurs comme Oracle, Microsoft, Apple et ainsi de suite préfèrent effectuer des roulements pour diffuser plusieurs correctifs d’un coup. Dans le cas d’Oracle cependant, la faille est connue depuis avril (l'avertissement du 2 avril 2012 de Security Explorations) et n’est toujours pas référencée sur le site. La prochaine publication de correctifs est prévue pour octobre, ce qui laisse au bas mot plus d’un mois aux auteurs de malwares pour exploiter la situation.

 

Et cette exploitation est déjà active. L’article de Kasperksy donnait déjà il y a deux jours une carte des sites contaminés :

 

java

 

Même si l’éditeur indique que seul Windows est véritablement visé pour l’instant, l’exploitation sur d’autres plateformes ne saurait tarder.

Désactiver Java

De fait, la désactivation de Java est désormais recommandée par plusieurs sources, dont la plus récente est Mozilla. Le père de Firefox indique en outre travailler sur une fonctionnalité qui sera active dans Firefox 18 au plus tard et permettant de n’activer Java qu’à la demande, le navigateur affichant une demande d’autorisation pour exécuter un code (click-to-play).

 

Nous vous fournissons donc la méthode pour désactiver Java sur les principaux navigateurs.

  • Internet Explorer

Se rendez dans les Options Internet, puis dans l’onglet Programmes. Cliquer sur « Gérer les modules complémentaires » et chercher Java dans la liste :

 

java

  • Firefox

Se rendez dans le menu Outils, puis cliquer sur Modules Complémentaires :

 

java

  • Chrome

Cliquer sur la clé à molette en haut à droite du navigateur, puis sur Paramètres. Cliquez sur le bouton Paramètres de contenu dans la zone « Confidentialité », puis sur le lien « Désactiver les plug-ins individuels » dans la partie « Plug-ins » :

 

java java

  • Safari

Se rendre dans les paramètres du navigateur, puis dans l’onglet Sécurité :

 

java

Commentaires (84)


Java n’a rien à faire dans un navigateur hormis alourdir la machine. HTML5 doit être la référence.


A confirmer mais je crois que cette faille ne concerne que Java 7 …

Donc désactiver Java n’est pas forcément nécessaire pour les autres versions …


Oracle… faille… comportement de merde… comme d’hab quoi !



Savoir que son produit est un gruyère emmental et ne rien faire devrait être passible de lourdes sanctions !


La faille existe que sur java 1.7








J-Phil a écrit :



A confirmer mais je crois que cette faille ne concerne que Java 7 …

Donc désactiver Java n’est pas forcément nécessaire pour les autres versions …





C’est vrai que cette faille ne concerne que la version 7, par contre, j’ai lu ici à ce sujet que les autres versions ont d’autres failles et qu’il vaut mieux ne pas les utiliser non plus.



Le 30/08/2012 à 09h39

Défaut de sécurisation… On leur coupe internet ?








fred42 a écrit :



C’est vrai que cette faille ne concerne que la version 7, par contre, j’ai lu ici à ce sujet que les autres versions ont d’autres failles et qu’il vaut mieux ne pas les utiliser non plus.







La 6.0.34 est encore maintenue et ne contient pas la faille … Maintenant de là à dire qu’elle n’en contient pas une autre … Aucun soft n’est à l’abris ! <img data-src=" />



C’est aussi ce que j’ai lu, que cette faille ne concerne que la version 7.



Dans le doute, je l’ai viré pour remettre la v6 u34


Pour ma part je ne ai pas installer depuis le changement de mon pc et je me porte bien sans <img data-src=" />








Anikam a écrit :



Oracle… faille… comportement de merde… comme d’hab quoi !



Savoir que son produit est un gruyère emmental et ne rien faire devrait être passible de lourdes sanctions !







l’hadopi va leur tomber dessus <img data-src=" />



Un beau graphique sans légende qui montre la terre c’est super utile !

C’est quoi le jaune, vert, rouge ?








MarbolanGos a écrit :



Un beau graphique sans légende qui montre la terre c’est super utile !

C’est quoi le jaune, vert, rouge ?





“Et cette exploitation est déjà active. L’article de Kasperksy donnait déjà il y a deux jours une carte des sites contaminés :”



lire toussa <img data-src=" />

après si l’échelle de gravité t’es inconnue ca va du vert vers le rouge en général ;)









MarbolanGos a écrit :



Un beau graphique sans légende qui montre la terre c’est super utile !

C’est quoi le jaune, vert, rouge ?







Les chinois ont migré en Russie, et les Coco dominent toujours la Chine.

Quelques pays ont la phobie des virus et sont vert de peur.



<img data-src=" />





(ps: sur le principe je suis d’accord ;) )



En pratique désactiver java, ça change quoi?








Hive a écrit :



En pratique désactiver java, ça change quoi?





L’attaque passe par le navigateur, si un applet contaminé essaye de s’executer sur ton navigateur et que java est désactivé, ton navigateur dira juste “je peux pas lire ca” plutot que de laisser java executer le code qui ouvre une porte sur le reste de ton PC



Le 30/08/2012 à 10h08

Oracle a racheté Sun pour faire du pognon, pas pour en dépenser à colmater les failles <img data-src=" />


Je trouve ça irresponsable… Si la date est bien vérifiée (avril), c’est tout sauf professionnel de leur part.



<img data-src=" />



C’est à se demander si c’est pas des failles laissées volontairement en fonctionnement.


Le 30/08/2012 à 10h14

Larry nous mène en bateau <img data-src=" />


Le 30/08/2012 à 10h16

java cay2lamerde


Euh, si j’ai bien compris, il faut accepter de lancer un applet spécialement conçu pour exploiter la faille.



Donc je si ne vais tout simplement pas sur des sites exploitant Java, je ne risque pas grand chose …


Le 30/08/2012 à 10h22

Heureusement, j’ai Java 6 sur mon Mac. Mais comme MacGé s’en ait fait l’écho, la faille est belle et bien exploitée sur OS X, donc prudence.








Angelus69 a écrit :



Pour ma part je ne ai pas installer depuis le changement de mon pc et je me porte bien sans <img data-src=" />







+1. Je suis allé voir pour le désactiver, avant de me rendre compte que je ne l’avais pas réinstallé <img data-src=" />



Jave & Flash sont banni de mes machines, à part plus de rapidité quand je surf, j’ai pas vu de différence, donc j’imagine qu’ils ne me sont pas utiles ^^


^^ à quand une attaque en justice pour ce genre de laisser aller…



Oracle la boite de merde, au moins elle confirme une fois de plus sa réputation. <img data-src=" />








Marco07 a écrit :



Je trouve ça irresponsable… Si la date est bien vérifiée (avril), c’est tout sauf professionnel de leur part.



<img data-src=" />



C’est à se demander si c’est pas des failles laissées volontairement en fonctionnement.







Bah, c’est pas comme si il y avait qui que ce soit que ça intéresse de payer une entreprise pour pouvoir infiltrer la quasi totalité des ordinateurs de la planète…









Bill2 a écrit :



Euh, si j’ai bien compris, il faut accepter de lancer un applet spécialement conçu pour exploiter la faille.



Donc je si ne vais tout simplement pas sur des sites exploitant Java, je ne risque pas grand chose …







Donc tu ne vas sur aucun site gouvernemental. Parce que c’est là qu’on trouve la plus belle palette de programmes nécessitant tous une version différente. Je hais Java.









Bill2 a écrit :



Euh, si j’ai bien compris, il faut accepter de lancer un applet spécialement conçu pour exploiter la faille.



Donc je si ne vais tout simplement pas sur des sites exploitant Java, je ne risque pas grand chose …





Comportement du Michu :

Voulez vous lancer l’applet Kikoolol365/Nudenudenude/Cadogénial? *

clic sur OK



* rayer les applets suivant la catégorie sociale du Michu concerné<img data-src=" />



Et pour opera ?


J’imagine que cette faille ne touche pas IcedTea


Apparemment, PCInpact a décidé de copier The Register. Continuez comme ça et vous perdrez une partie de vos lecteurs. Charité bien ordonnée commence par soi-même; vous encouragez les gens à désactiver Java alors que seul Java 1.7 est concerné et vous ne montrez pas l’exemple puisque dans cette capture vous n’utilisez pas Java 1.7 mais en plus votre version de Java 1.6 n’est pas à jour, vous utilisez l’update 17 alors qu’on est déjà à l’update 34 qui elle n’est pas concernée par cette faille:

référence



Je recommande plutôt aux gens de passer à Java 1.6 update 34 en attendant qu’Oracle veuille bien fournir une correction.









A-D a écrit :



Java n’a rien à faire dans un navigateur hormis alourdir la machine. HTML5 doit être la référence.





HTML5 n’est pas exempt de failles de sécurité tout comme Flash et Silverlight. Il ne peut pas remplacer Java qui est une technologie beaucoup plus généraliste, elle n’est pas utilisée uniquement dans les navigateurs.



De plus, même certains créateurs de jeux admettent qu’HTML5 a de très gros problèmes de performances:



I agree that the processor / GPU needed to play an HTML5 game at decent performance is stupid insane.



référence



Vous utilisez le logo d’Ubuntu comme icône mais vous rendez-vous compte qu’en tapant sur Java sans faire la distinction entre Oracle Java et OpenJDK/IcedTea vous causez aussi du tort à des projets open source qui ne sont peut-être même pas concernés par cette faille? Vous parlez de lourdeur mais si vous demandez à une technologie intégrée au navigateur de faire tout ce que Java fait, vous allez “juste” passer d’un couple “client léger/OS lourd” à un couple “client lourd/OS léger” voire pire “client lourd/OS lourd”.



Voilà une nouvelle à troll dès le jeudi. On va avoir le droit au défilé de celles et ceux qui pestent contre Java souvent sans même savoir ce que c’est et qui se fichent totalement d’alimenter des préjugés. Le problème, c’est surtout Oracle qui va gentiment attendre octobre pour proposer une mise à jour. Java ne lui appartient pas, c’est plus compliqué que ça.



La fondation Mozilla considère que le web ouvert est un web sans plugin y compris open source:

référence

Que le père de Mozilla essaie de bloquer Java et ça va très mal se terminer. J’en ai déjà marre de devoir supporter des messages effrayants dans Chrome quand on n’utilise pas les technologies que les seigneurs de Google et de la fondation Mozilla jugent sûres. Le vrai web libre n’a pas à être soumis au bon vouloir d’organisations privées qui utilisent les failles de sécurité comme prétextes pour prendre des décisions en fonction de leurs intérêts propres.



Le 30/08/2012 à 10h57







Maicka a écrit :



Et pour opera ?





C’est le plugin Java qui est visé donc tout navigateur utilisant ledit plugin est concerné <img data-src=" />





Se rendez…



Quoi ???


Java coupé, avec Firefox <img data-src=" />


Est-ce que Iced-Tea est affecté ?




Tout va très vite, au point qu’Eugène Kaspersky, fondateur de l’éditeur du même nom, se fâche sur Twitter et parle d’irresponsabilité dans les annonces :



Il a raison en partie vue que les éditeurs d’outils de piratage test de pénétration surfent sur le buzz pour se faire voir, mais il pourrait aussi parler de l’irresponsabilité d’Oracle qui pour moi est bien plus condamnable. <img data-src=" />







Bill2 a écrit :



Euh, si j’ai bien compris, il faut accepter de lancer un applet spécialement conçu pour exploiter la faille.



Donc je si ne vais tout simplement pas sur des sites exploitant Java, je ne risque pas grand chose …





<img data-src=" /> “viens voir mon site, il n’exploite pas Java, parole de Pirate”





Ski-lleR a écrit :



Jave & Flash sont banni de mes machines, à part plus de rapidité quand je surf, j’ai pas vu de différence, donc j’imagine qu’ils ne me sont pas utiles ^^





Il doit y avoir que 1% de sites qui utilisent encore Java (hors entreprise) mais Flash reste incontournable.

Sans Flash pas de Pr0n <img data-src=" /> !









GoldenTribal a écrit :



C’est le plugin Java qui est visé donc tout navigateur utilisant ledit plugin est concerné <img data-src=" />





C’est seulement le plugin Oracle Java dans sa version 1.7 sachant que beaucoup de gens sont toujours sous Java 1.6 et que c’est OpenJDK avec IcedTea qui est installé par défaut sous de nombreuses distributions Linux.







Winderly a écrit :



Est-ce que Iced-Tea est affecté ?





Les versions d’IcedTea utilisant OpenJDK 1.6 ne sont pas affectées. Pour les versions d’Icedtea utilisant OpenJDK 1.7, je ne suis pas sûr, il faut vérifier dans le code source, dans la classe sun.awt.SunToolkit.









gouessej a écrit :



blablabla



Je recommande plutôt aux gens de passer à Java 1.6 update 34 en attendant qu’Oracle veuille bien fournir une correction.



blablabla







Et concrètement, ça sert à quoi Java dans un navigateur, pour un utilisateur normal ? A rien, on ne trouve quasiment plus d’applets Java (et c’est tant mieux) sur des sites Web.

Il est totalement irresponsable de garder Java dans le navigateur Web de quelqu’un qui n’en a aucune utilité, à part à augmenter la surface d’attaque possible.



Je recommande plutôt aux gens de désactiver Java dans leur navigateur Web.









Maicka a écrit :



Et pour opera ?







opera:plugins <img data-src=" />









gouessej a écrit :



Les versions d’IcedTea utilisant OpenJDK 1.6 ne sont pas affectées. Pour les versions d’Icedtea utilisant OpenJDK 1.7, je ne suis pas sûr, il faut vérifier dans le code source, dans la classe sun.awt.SunToolkit.







OpenJDK 1.7 est vulnérable :



“Red Hat has tested the flaw and confirmed that it affects Java SE 7 provided by OpenJDK 7 (java-1.7.0-openjdk)”



Et Hadopi, elle n’attaque pas Oracle ?








Marco07 a écrit :



Je trouve ça irresponsable… Si la date est bien vérifiée (avril), c’est tout sauf professionnel de leur part.



<img data-src=" />



C’est à se demander si c’est pas des failles laissées volontairement en fonctionnement.





<img data-src=" /> Le pire il parle une mise a jour en octobre pas très pro











Winderly a écrit :



Est-ce que Iced-Tea est affecté ?





Je viens de vérifier pour OpenJDK 1.7, toute version d’IcedTea l’utilisant est concernée:

référence









Angelus69 a écrit :



<img data-src=" /> Le pire il parle une mise a jour en octobre pas très pro





C’est marrant que sur les màj de chrome & ff & cie, il n’y ai pas d’avertissement ou de désactivation de java automatique (quitte à le réactiver aux risques de l’utilisateur)… ça les bougerait pour sortir rapidement une mise à jour, sans compter la publicité.









gouessej a écrit :



C’est seulement le plugin Oracle Java dans sa version 1.7 sachant que beaucoup de gens sont toujours sous Java 1.6 et que c’est OpenJDK avec IcedTea qui est installé par défaut sous de nombreuses distributions Linux.





Les versions d’IcedTea utilisant OpenJDK 1.6 ne sont pas affectées. Pour les versions d’Icedtea utilisant OpenJDK 1.7, je ne suis pas sûr, il faut vérifier dans le code source, dans la classe sun.awt.SunToolkit.





houla, je sais pas faire ça







gouessej a écrit :



Je viens de vérifier pour OpenJDK 1.7, toute version d’IcedTea l’utilisant est concernée:

référence





et merde









NeVeS a écrit :



Et concrètement, ça sert à quoi Java dans un navigateur, pour un utilisateur normal ? A rien, on ne trouve quasiment plus d’applets Java (et c’est tant mieux) sur des sites Web.

Il est totalement irresponsable de garder Java dans le navigateur Web de quelqu’un qui n’en a aucune utilité, à part à augmenter la surface d’attaque possible.



Je recommande plutôt aux gens de désactiver Java dans leur navigateur Web.





Les personnes qui n’ont pas besoin de Java peuvent le désactiver et c’est vrai pour n’importe quel plugin. Ce que je dis, ce n’est pas du “blablabla” et vous me donnez raison, vous laissez entendre que Java se limite aux applets. Beaucoup d’applications bancaires et de sites d’administration s’en servent discrètement, pas mal de jeux vidéo aussi (Minecraft, ça vous dit quelque chose?).









Marco07 a écrit :



C’est marrant que sur les màj de chrome & ff & cie, il n’y ai pas d’avertissement ou de désactivation de java automatique (quitte à le réactiver aux risques de l’utilisateur)… ça les bougerait pour sortir rapidement une mise à jour, sans compter la publicité.





Ce serait contreproductif comme beaucoup de gens sont toujours à Java 1.6 qui n’est pas concerné par cette faille.









gouessej a écrit :



Voilà une nouvelle à troll dès le jeudi. On va avoir le droit au défilé de celles et ceux qui pestent contre Java souvent sans même savoir ce que c’est et qui se fichent totalement d’alimenter des préjugés..







Faudrait pas prendre tous les critiqueurs pour des cons non plus. On peut avoir des arguments tout à fait raisonnable contre java dans un navigateur web il me semble.









gouessej a écrit :



Les personnes qui n’ont pas besoin de Java peuvent le désactiver et c’est vrai pour n’importe quel plugin. Ce que je dis, ce n’est pas du “blablabla” et vous me donnez raison, vous laissez entendre que Java se limite aux applets. Beaucoup d’applications bancaires et de sites d’administration s’en servent discrètement, pas mal de jeux vidéo aussi (Minecraft, ça vous dit quelque chose?).









C’est pour ça qu’on (la news, moi) parle de désactiver Java dans le navigateur Web, ce qui n’affectera ni les applications lourdes ni les jeux vidéos.



Tu peux me tutoyer.









adrieng a écrit :



Faudrait pas prendre tous les critiqueurs pour des cons non plus. On peut avoir des arguments tout à fait raisonnable contre java dans un navigateur web il me semble.





J’ai dit “souvent”, pas “toujours”, nuance. De plus, je n’ai employé aucun terme injurieux, j’ai dit “celles et ceux qui pestent”. Merci de ne pas me faire dire ce que je n’ai pas dit. La langue française est suffisamment riche pour que je n’ai pas besoin d’en arriver là pour m’exprimer.









gouessej a écrit :



Ce serait contreproductif comme beaucoup de gens sont toujours à Java 1.6 qui n’est pas concerné par cette faille.





Et, suffit de “blacklister” les versions concernées….










NeVeS a écrit :



C’est pour ça qu’on (la news, moi) parle de désactiver Java dans le navigateur Web, ce qui n’affectera ni les applications lourdes ni les jeux vidéos.





Justement, il est possible de lancer des applications lourdes sous forme d’applets depuis Java 1.6 update 10 donc ce que vous venez de dire n’est pas tout à fait vrai. De plus, il existe aussi des jeux vidéo en Java sous forme d’applets, la version de démo de Minecraft en fait partie. Cet article propose de désactiver Java dans le navigateur sans préciser que Java 1.6 n’est pas concerné et pire en montrant dans la capture … Java 1.6. Comme si ce n’était pas suffisant, PCInpact ne met pas à jour son plugin donc il ne dispose pas des derniers correctifs de sécurité, regardez bien c’est l’update 17, pas l’update 34.







NeVeS a écrit :



Tu peux me tutoyer.





Désolé, ce n’est pas un réflexe chez moi mais contrairement à Laurent Joffrin, je ne vous en voudrai pas si vous me tutoyez.









Marco07 a écrit :



Et, suffit de “blacklister” les versions concernées….





Oui, pourquoi ne pas mettre sur liste noire les 7 premières updates de Java 1.7 en indiquant clairement que c’est pour des raisons de sécurité? Si c’est le seul moyen de faire bouger Oracle, ça me parait raisonnable mais ça doit être le dernier recours.









gouessej a écrit :



Justement, il est possible de lancer des applications lourdes sous forme d’applets depuis Java 1.6 update 10 donc ce que vous venez de dire n’est pas tout à fait vrai. De plus, il existe aussi des jeux vidéo en Java sous forme d’applets, la version de démo de Minecraft en fait partie.







Il est possible, oui, mais il est aussi possible de lancer ces applications lourdes sans passer par une applet.



Si on compare le très très faible intérêt à avoir Java dans son navigateur Web à l’énorme surface d’attaque qu’il ajoute, alors sans hésiter, je le répète, il en est de la santé numérique publique de désactiver Java dans les navigateurs Web. Que ça soit la version 7 actuellement sans correctif ou la version 6 qui, à jour, n’est pas exploitable publiquement. Et vu son passif de vulnérabilités, il est certain que des vulnérabilités sont déjà connues par certaines personnes pour la version 6.







gouessej a écrit :



Désolé, ce n’est pas un réflexe chez moi mais contrairement à Laurent Joffrin, je ne vous en voudrai pas si vous me tutoyez.







Merci <img data-src=" />



Un peu excessif de désinstaller Java pour une faille qui ne semble affecter que la version 7…



Il suffit, comme certains l’ont déjà fait, de réinstaller provisoirement, à la place la version 6 !



Quant à traiter Java comme un langage pestiféré, parce que c’est Oracle qui a racheté Sun, là aussi il-y-a un peu d’abus : Il ne faudrait pas jeter le bébé avec l’eau du bain !








gouessej a écrit :



Les versions d’IcedTea utilisant OpenJDK 1.6 ne sont pas affectées.[…]Je viens de vérifier pour OpenJDK 1.7, toute version d’IcedTea l’utilisant est concernée.





Merci, j’étais justement en train de me demander si l’OpenJDK était concerné (Il serait sans doute utile d’ailleurs de le noter dans la news ?)… C’est inquiétant en tout cas, j’espère que ça sera vite corrigé.










fred42 a écrit :



C’est vrai que cette faille ne concerne que la version 7, par contre, j’ai lu ici à ce sujet que les autres versions ont d’autres failles et qu’il vaut mieux ne pas les utiliser non plus.



tous les softs sans exception ont des failles.

mais ce n’est pas le fait d’avoir des failles qui compte : c’est le temps de réaction pour les corriger… et comme d’hab Oracle a fait de la merde!



Et oui Oracle n’est pas Sun qui veut.








Toorist a écrit :



“Et cette exploitation est déjà active. L’article de Kasperksy donnait déjà il y a deux jours une carte des sites contaminés :”



lire toussa <img data-src=" />

après si l’échelle de gravité t’es inconnue ca va du vert vers le rouge en général ;)





Oui d’accord c’est une échelle mais dans le monde ces codes couleurs ne sont pas explicites. Il faut quand même préciser si on lance un graphique comme cela dans des publications scientifiques on se fait rejeter directement à l’éditeur. Les codes couleurs c’est pas figé.









NeVeS a écrit :



Il est possible, oui, mais il est aussi possible de lancer ces applications lourdes sans passer par une applet.





Oui il est possible de lancer des applications lourdes sans passer par une applet, c’est tout l’intérêt de passer par Java Web Start.







NeVeS a écrit :



le très très faible intérêt à avoir Java dans son navigateur Web





C’est subjectif.







Droooom a écrit :



Merci, j’étais justement en train de me demander si l’OpenJDK était concerné (Il serait sans doute utile d’ailleurs de le noter dans la news ?)… C’est inquiétant en tout cas, j’espère que ça sera vite corrigé.





De rien.



Cet article est approximatif sur plusieurs points techniques, il devrait surtout mentionner que Java 1.6 n’est pas concerné. Je suis sous Mageia Linux 2, je me sers d’OpenJDK 1.6 update 33 avec Icedtea 1.2, je ne suis pas concerné par cette faille.









fred42 a écrit :



C’est vrai que cette faille ne concerne que la version 7, par contre, j’ai lu ici à ce sujet que les autres versions ont d’autres failles et qu’il vaut mieux ne pas les utiliser non plus.





The Register n’est pas une source fiable à mon humble avis, il avait déjà annoncé que Java serait complètement et définitivement bloqué dans Firefox il y a quelques années, il se saisit de chaque occasion pour crier au loup contre Java même quand c’est assez peu justifié. Vous êtes plus en sécurité avec la version 1.6 update 34 en attendant qu’Oracle fournisse un correctif. Je vous rappelle qu’il y a aussi des failles dans HTML5, Silverlight, Flash…







-zardoz- a écrit :



Un peu excessif de désinstaller Java pour une faille qui ne semble affecter que la version 7…



Il suffit, comme certains l’ont déjà fait, de réinstaller provisoirement, à la place la version 6 !



Quant à traiter Java comme un langage pestiféré, parce que c’est Oracle qui a racheté Sun, là aussi il-y-a un peu d’abus : Il ne faudrait pas jeter le bébé avec l’eau du bain !





Je suis d’accord et l’évolution de Java dépend aussi de la communauté, pas seulement d’Oracle.









gouessej a écrit :



The Register n’est pas une source fiable à mon humble avis, il avait déjà annoncé que Java serait complètement et définitivement bloqué dans Firefox il y a quelques années, il se saisit de chaque occasion pour crier au loup contre Java même quand c’est assez peu justifié. Vous êtes plus en sécurité avec la version 1.6 update 34 en attendant qu’Oracle fournisse un correctif. Je vous rappelle qu’il y a aussi des failles dans HTML5, Silverlight, Flash…







Détrompez moi si je fait erreur, mais la 1.6 avait d’autres failles, non?

Remplacer la 1.7 par la 1.6 ne reviendrait pas à troquer une faille récente et médiatisée contre d’autres failles plus vieilles et moins connue du public?









gouessej a écrit :



Oui il est possible de lancer des applications lourdes sans passer par une applet, c’est tout l’intérêt de passer par Java Web Start.







En même temps la faille est dans Java et permet à une application de se donner tous les droits en local … Donc même une application lancée en dehors de tout navigateur peut télécharger un module et l’installer sans aucune action de l’utilisateur !









orklah a écrit :



Détrompez moi si je fait erreur, mais la 1.6 avait d’autres failles, non?

Remplacer la 1.7 par la 1.6 ne reviendrait pas à troquer une faille récente et médiatisée contre d’autres failles plus vieilles et moins connue du public?







La version 6 est toujours maintenue … Donc les failles “anciennes” et connues ne devraient pas être présentes en 6.0.34









gouessej a écrit :



Oui il est possible de lancer des applications lourdes sans passer par une applet, c’est tout l’intérêt de passer par Java Web Start.







Java Web Start, qui a déjà eu une grosse vulnérabilité bien critique (stable car non binaires, injection de commande). Et déjà à l’époque :



“The method in which Java Web Start support has been added to the JRE is not less than a deliberately embedded backdoor (I really don’t think so) or a flagrant case of extreme negligence (+1).”







gouessej a écrit :



C’est subjectif.







Ce qui est moins subjectif c’est le très grand nombre de personnes qui peuvent se faire enrôler dans un botnet (et donc spammer la planète entière…) parce qu’ils ont Java accessible depuis leur navigateur, alors qu’ils ne savent même pas ce qu’est java et qu’ils n’en ont aucune utilité.
















J-Phil a écrit :



En même temps la faille est dans Java et permet à une application de se donner tous les droits en local … Donc même une application lancée en dehors de tout navigateur peut télécharger un module et l’installer sans aucune action de l’utilisateur !







Tout à fait, mais il y a une différence entre infecter des milliers de personnes juste parce qu’elles naviguent sur un site Internet infecté (et rien d’autre !) et faire lancer une application lourde en dehors du navigateur à quelqu’un (ce qui implique un peu plus de social engineering)









NeVeS a écrit :



Java Web Start, qui a déjà eu une grosse vulnérabilité bien critique (stable car non binaires, injection de commande). Et déjà à l’époque :



“The method in which Java Web Start support has been added to the JRE is not less than a deliberately embedded backdoor (I really don’t think so) or a flagrant case of extreme negligence (+1).”





Ce serait bien d’indiquer vos références avec des liens aussi :

référence



Cette faille a été corrigée il y a presque 2 ans. Voulez-vous aussi qu’on parle de toutes les failles des dix dernières années des autres technologies que j’ai évoquées? On peut même remonter jusqu’à ActiveX.







NeVeS a écrit :



Ce qui est moins subjectif c’est le très grand nombre de personnes qui peuvent se faire enrôler dans un botnet (et donc spammer la planète entière…) parce qu’ils ont Java accessible depuis leur navigateur, alors qu’ils ne savent même pas ce qu’est java et qu’ils n’en ont aucune utilité.





Cela peut arriver avec d’autres technologies (cf. la faille de sécurité dans les WebSockets d’HTML5), Java n’a pas le monopole des failles. C’est surtout Oracle qu’il faut blâmer pour son manque de réactivité.









NeVeS a écrit :



Tout à fait, mais il y a une différence entre infecter des milliers de personnes juste parce qu’elles naviguent sur un site Internet infecté (et rien d’autre !) et faire lancer une application lourde en dehors du navigateur à quelqu’un (ce qui implique un peu plus de social engineering)







C’est le plugins qui gère le webstart ou c’est lancé avec l’extension du fichier ?

Il est facile de dire à l’utilisateur “cliquer sur executer quand le navigateur téléchargera le fichier”.









J-Phil a écrit :



C’est le plugins qui gère le webstart ou c’est lancé avec l’extension du fichier ?





Les deux. Le type mime est associé à Java Web Start qui est dans le plugin Java.







J-Phil a écrit :



Il est facile de dire à l’utilisateur “cliquer sur executer quand le navigateur téléchargera le fichier”.





Si les gens installent n’importe quoi, c’est un autre problème, ce n’est pas de la faute de Java. Il y a un juste milieu à trouver entre la paranoïa et le laxisme total.









gouessej a écrit :



Ce serait bien d’indiquer vos références avec des liens aussi :

référence



Cette faille a été corrigée il y a presque 2 ans. Voulez-vous aussi qu’on parle de toutes les failles des dix dernières années des autres technologies que j’ai évoquées? On peut même remonter jusqu’à ActiveX.

.







C’est toi qui me parle de Java Web Start, je n’ai fait qu’ajouter une anecdote pour montrer à quel point Java (dans un navigateur Web) a toujours été une porte d’entrée béante pour les malwares. Ça ne date pas d’hier, comme tu dis, ça fait bien 2 ans que les exploits kits sont bien contents que Java soit installé partout…



Je n’ai pas dis qu’ActiveX est mieux, je ne compare rien, je te dis juste que Java dans un navigateur Web est une aberration d’un point de vue sécurité. Comme Flash, mais à l’inverse de Java, Flash est massivement utilisé par le commun des mortels sur le Web. Java, les gens s’en servent une fois par an par erreur, sans le savoir, alors qu’ils peuvent se faire exploiter par n’importe quel site Web infecté ou malicieux.







gouessej a écrit :



Cela peut arriver avec d’autres technologies (cf. la faille de sécurité dans les WebSockets d’HTML5), Java n’a pas le monopole des failles. C’est surtout Oracle qu’il faut blâmer pour son manque de réactivité.







Non, Java n’a pas le monopole des failles. Ce n’est pas une raison valable pour laisser du code qui ne sert qu’à de l’exploitation massive chez tout le monde.



Ceux qui veulent Java réellement dans leur navigateur doivent pour l’installer, mais ce n’est pas une raison pour l’imposer à tout le monde quand on installe le JRE. Le plugin ne devrait pas être installé par défaut, ou alors il devrait au moins être désactivé.









J-Phil a écrit :



Il est facile de dire à l’utilisateur “cliquer sur executer quand le navigateur téléchargera le fichier”.







Il est facile de faire ça, en effet, mais c’est voyant et le taux de réussite va être beaucoup moins élevé que via l’exploitation par le plugin. Avec le plugin, tu vas sur un site Web infecté, tu ne vois rien du tout, et ta machine est enrôlée dans un botnet. Et ça ça marche massivement à l’heure actuelle.









gouessej a écrit :



Si les gens installent n’importe quoi, c’est un autre problème, ce n’est pas de la faute de Java. Il y a un juste milieu à trouver entre la paranoïa et le laxisme total.







Tu trouves que c’est de la paranoïa que de désinstaller un programme inutilisé qui ne peut servir qu’à être exploité ? J’appelle ça du bon sens.



Si tu le veux le plugin, t’assumes, ce n’est pas à ceux qui ne savent même pas ce qu’est Java d’avoir à désinstaller le plugin manuellement.



L’update 7 corrigeant la faille a été publié.








Olipla a écrit :



L’update 7 corrigeant la faille a été publié.







Sources ?



comme d’hab oracle fait n’imp..







bon c’est pas comme si un oracle arrivait a faire des prédictions ou voir le futur.

faut pas deconner non plus…















NeVeS a écrit :



un programme inutilisé





C’est votre opinion, ce n’est pas un fait.







2show7 a écrit :



Sources ?





référence



Bug Fixes



This release contains fixes for security vulnerabilities. For more information, see Oracle Security Alert for CVE-2012-4681.



Voilà, les trolleurs peuvent retourner se coucher jusqu’à la prochaine faille.









gouessej a écrit :



C’est votre opinion, ce n’est pas un fait.







hahaha … En attendant, c’est un fait qu’il y a des milliers de machines infectées grace au plugin Java.







gouessej a écrit :



Voilà, les trolleurs peuvent retourner se coucher jusqu’à la prochaine faille.







Dans un débat, quand on en arrive à traiter ses opposants de trolleurs, c’est qu’on n’a aucun réel argument à opposer.









NeVeS a écrit :



hahaha … En attendant, c’est un fait qu’il y a des milliers de machines infectées grace au plugin Java.





C’est un fait qu’il y a des machines infectées à cause de plein de vecteurs dont Java.







NeVeS a écrit :



Dans un débat, quand on en arrive à traiter ses opposants de trolleurs, c’est qu’on n’a aucun réel argument à opposer.





Vous présentez péremptoirement vos opinions comme des faits sans vous appuyer sur la moindre statistique, c’est vous même qui portez atteinte à votre propre crédibilité donc ne m’en voulez pas de vous le faire remarquer, parfois en utilisant simplement le terme “troll”. Je ne “traite” personne et quand je fournis des explications élaborées, on m’accuse de sortir du blabla. En attendant, je fais du Java depuis 2002, il ne m’a pas fallu longtemps pour remarquer que l’auteur de cet article dispose d’une version de Java pas du tout à jour et j’en serais resté au C si Java était aussi lent et lourd que beaucoup le prétendent, je ne suis pas sadomaso.









gouessej a écrit :



Vous présentez péremptoirement vos opinions comme des faits sans vous appuyer sur la moindre statistique, c’est vous même qui portez atteinte à votre propre crédibilité donc ne m’en voulez pas de vous le faire remarquer, parfois en utilisant simplement le terme “troll”.







Il te faut des statistiques pour comprendre quelque chose d’aussi simple et logique qu’on n’impose pas l’installation d’un plugin dans le programme le plus exposé sur un ordinateur (le navigateur Web, l’accès privilégié des malwares) par défaut s’il ne sert pas ? Tout ce que je dis depuis le début c’est que ce plugin ne devrait pas être activé (voire installé) quand on installe Java, pourquoi ça te semble si difficile à comprendre ? C’est si dur que ça de faire une case à cocher (décochée par défaut) pour l’installation du plugin à l’installation de Java ? Java oui, plugin Java non, pas par défaut.



Et si, je t’en veux de m’accuser de troll, alors que c’est mon travail de faire de la veille en sécurité et de prévenir les gens quand il y a quelque chose qui ne va pas. Je n’apprécie pas qu’on résume mon travail à du troll.







gouessej a écrit :



Je ne “traite” personne et quand je fournis des explications élaborées, on m’accuse de sortir du blabla. En attendant, je fais du Java depuis 2002, il ne m’a pas fallu longtemps pour remarquer que l’auteur de cet article dispose d’une version de Java pas du tout à jour et j’en serais resté au C si Java était aussi lent et lourd que beaucoup le prétendent, je ne suis pas sadomaso.







Ton “blabla” (quelle accusation <img data-src=" />) n’est pas une explication élaborée, désolé, je vais la reprendre :



Tu commences par dire que PCI recommande de désactiver Java, alors qu’au contraire PCI ne parle que du plugin.



Tu continues ensuite en disant que la version sur la capture d’écran n’est pas à jour : Hors sujet, PCI indique une méthode pour désactiver le plugin, c’est générique pour n’importe quelle version. D’ailleurs tous les plugins sur cette capture d’écran sont complètement obsolètes (et pleeeeein de vulnérabilités).



Tu sais ce que je pense de ta recommandation qui suit, concernant le fait de laisser le plugin mais en version 6…



Pas grand chose à dire sur ton discours sur HTML5, sauf que le fait qu’il y ait des failles dans HTML5, Silverlight et Flash ne dédouane pas Java pour autant. Dans la sécurité on ne dit pas “Ha ouais y’a des vulns dans mon soft, mais c’est pas grave le concurrent aussi”.



Le paragraphe suivant concernant OpenJDK est faux puisqu’OpenJDK 7 était vulnérable aussi (coup de bol pour PCI, j’avoue). Je suis d’accord avec la dernière phrase de ce paragraphe.



Je passe sur le paragraphe sur le troll puisqu’il ne sert à rien du tout. Surtout que contrairement à ta prédiction, Oracle a sorti un correctif (pas de chance pour ton argumentation, j’avoue, j’aurais pas parié dessus).



Et je répondrais au dernier paragraphe en reprenant ta formulation : Le vrai Web Libre n’a pas à être soumis au bon vouloir des organisations qui imposent leur technologie à travers l’installation systématique de plugins dans les navigateurs, augmentant considérablement la surface d’attaque qu’expose un utilisateur lambda sur Internet, favorisant ainsi la création de botnet et par conséquent les attaques DDOS et le spam, fléaux du réseau des réseaux.

J’en ai déjà marre de devoir désactiver les plugins Java, Silverlight, VLC, totem et autre pack multimédia à chaque fois que j’installe un des programmes en question. Y’a déjà assez de faille dans mon navigateur Web, merci de ne pas en rajouter.



Et pour conclure, puisque je ne reviendrais pas ici et je te laisserais sans doute le dernier mot, Je n’ai rien contre Java, je ne vois même pas pourquoi tu parles du language, de sa prétendu lenteur ou lourdeur, puisqu’on ne parle ici que du plugin Java.



Ca faisait longtemps que je n’avais pas lu une personne qui défend intelligemment ses arguments.

PS: j’ai appris un nouveau mot “péremptoirement”, merci gouessej <img data-src=" />








NeVeS a écrit :



Tu trouves que c’est de la paranoïa que de désinstaller un programme inutilisé qui ne peut servir qu’à être exploité ?





J’ai essayé de le désactiver hier … 30 secondes après, je le réactivais, il est pas aussi inutile que je le pensais en fait <img data-src=" />



C’est peut être des fonctions toutes connes, mais je ne pouvais plus utiliser les flèches pour passer d’une page à l’autre sur un reader, et je me vois mal aller cliquer sur “next” à chaque page avec la souris.

J’ai pas poussé plus loin l’expérimentation et recherché la version 1.6 update 34 <img data-src=" />









NeVeS a écrit :



Il te faut des statistiques pour comprendre quelque chose d’aussi simple et logique qu’on n’impose pas l’installation d’un plugin dans le programme le plus exposé sur un ordinateur (le navigateur Web, l’accès privilégié des malwares) par défaut s’il ne sert pas ? Tout ce que je dis depuis le début c’est que ce plugin ne devrait pas être activé (voire installé) quand on installe Java, pourquoi ça te semble si difficile à comprendre ? C’est si dur que ça de faire une case à cocher (décochée par défaut) pour l’installation du plugin à l’installation de Java ? Java oui, plugin Java non, pas par défaut.





Vous dites que Java est un “programme” inutilisé alors que Java n’est pas un programme (ce terme désigne à la fois le langage, la plateforme, …) et que vous ne vous appuyez sur aucune statistique.







NeVeS a écrit :



Et si, je t’en veux de m’accuser de troll, alors que c’est mon travail de faire de la veille en sécurité et de prévenir les gens quand il y a quelque chose qui ne va pas. Je n’apprécie pas qu’on résume mon travail à du troll.





J’utilise Java tous les jours. Votre travail ne consiste pas à avancer des informations vagues non étayées.







NeVeS a écrit :



Ton “blabla” (quelle accusation <img data-src=" />) n’est pas une explication élaborée, désolé, je vais la reprendre :



Tu commences par dire que PCI recommande de désactiver Java, alors qu’au contraire PCI ne parle que du plugin.





PCInpact devrait commencer par avoir une version à jour de Java avant de donner des leçons de sécurité surtout que la faille ne concernait pas la version 1.6.







NeVeS a écrit :



Tu continues ensuite en disant que la version sur la capture d’écran n’est pas à jour : Hors sujet, PCI indique une méthode pour désactiver le plugin, c’est générique pour n’importe quelle version. D’ailleurs tous les plugins sur cette capture d’écran sont complètement obsolètes (et pleeeeein de vulnérabilités).





J’estime que ce n’est pas hors sujet surtout que cela peut induire l’utilisateur en erreur justement car la version qui apparait sur la capture n’est pas concernée par la faille.







NeVeS a écrit :



Tu sais ce que je pense de ta recommandation qui suit, concernant le fait de laisser le plugin mais en version 6…





La version 1.6 update 34 n’était pas concernée par cette faille.







NeVeS a écrit :



Pas grand chose à dire sur ton discours sur HTML5, sauf que le fait qu’il y ait des failles dans HTML5, Silverlight et Flash ne dédouane pas Java pour autant. Dans la sécurité on ne dit pas “Ha ouais y’a des vulns dans mon soft, mais c’est pas grave le concurrent aussi”.





Je n’ai jamais dit que cela dédouanait Java, vous extrapolez. Néanmoins, le premier commentaire laisse entendre que Java devrait être remplacé par HTML5, comme s’il était exempt de failles.







NeVeS a écrit :



Le paragraphe suivant concernant OpenJDK est faux puisqu’OpenJDK 7 était vulnérable aussi (coup de bol pour PCI, j’avoue). Je suis d’accord avec la dernière phrase de ce paragraphe.





Vous extrapolez là encore. Au début, j’ai dit qu’on n’en était pas sûr, puis qu’il fallait que je vérifie et j’ai même posté un lien vers une référence montrant qu’OpenJDK 1.7 était lui aussi concerné malheureusement.







NeVeS a écrit :



Je passe sur le paragraphe sur le troll puisqu’il ne sert à rien du tout. Surtout que contrairement à ta prédiction, Oracle a sorti un correctif (pas de chance pour ton argumentation, j’avoue, j’aurais pas parié dessus).





Je peux me tromper mais il est arrivé qu’Oracle attende la sortie de la prochaine mise à jour pour y inclure plusieurs correctifs d’un coup.







NeVeS a écrit :



Et je répondrais au dernier paragraphe en reprenant ta formulation : Le vrai Web Libre n’a pas à être soumis au bon vouloir des organisations qui imposent leur technologie à travers l’installation systématique de plugins dans les navigateurs, augmentant considérablement la surface d’attaque qu’expose un utilisateur lambda sur Internet, favorisant ainsi la création de botnet et par conséquent les attaques DDOS et le spam, fléaux du réseau des réseaux.

J’en ai déjà marre de devoir désactiver les plugins Java, Silverlight, VLC, totem et autre pack multimédia à chaque fois que j’installe un des programmes en question. Y’a déjà assez de faille dans mon navigateur Web, merci de ne pas en rajouter.





En implémentant des fonctionnalités à l’intérieur même du navigateur alors qu’elles étaient auparavant dans des plugins, on déplace le problème et on augmente aussi la surface d’attaque dans une certaine mesure surtout que là, il n’y a plus rien à installer. Je suis favorable à HTML5 mais je ne veux y aller ni à marche forcée ni aveuglement en faisant comme si les performances étaient toujours au rendez-vous (j’ai déjà parlé de ça dans un de mes articles, il faudra que je le mette à jour comme j’ai appris des choses sur l’implémentation de WebGL). Je n’utilise pas Java juste pour embêter les braves gens, je l’utilise parce que j’en ai besoin. Si Java était resté une technologie complètement fermée, j’aurais lâché l’affaire.







NeVeS a écrit :



Et pour conclure, puisque je ne reviendrais pas ici et je te laisserais sans doute le dernier mot, Je n’ai rien contre Java, je ne vois même pas pourquoi tu parles du language, de sa prétendu lenteur ou lourdeur, puisqu’on ne parle ici que du plugin Java.





Vous avez prétendu que c’est un “programme inutilisé”. Quelqu’un d’autre a prétendu qu’il alourdit le navigateur.



Aucune technologie est infaillible. Cela ne signifie pas que tout se vaut et je suis content qu’Oracle ait réagi. En revanche, j’en ai plus qu’assez de l’extrême complaisance des médias au sujet d’HTML5. Si nous voulons vraiment que ce soit une réussite, il ne faut pas se voiler la face. HTML5 a déjà des failles, il en aura encore à l’avenir et il n’y a rien à installer dans son navigateur pour être exposé. Quand on trouve une faille dans Java, c’est la panique mais quand on trouve des failles dans HTML5, c’est moins grave? Je ne demande pas à avoir le mot de la fin. Les développeurs d’OpenJDK et d’Icedtea font ce qu’ils peuvent. Je suis responsable du support des moteurs au sein de la fondation JogAmp et mon “supérieur” a profité des événements de ces derniers jours pour lancer un audit sur tout notre code. Je me soucie de la sécurité.







dfzefsfsrg a écrit :



J’ai pas poussé plus loin l’expérimentation et recherché la version 1.6 update 34 <img data-src=" />





S’il vous plait, prenez l’update 35, elle est disponible ici.



J’avais dis que je ne reviendrais pas sur ce thread, mais j’ai pas pu m’en empêcher :



https://isc.sans.edu/diary.html?storyid=14017&rss



Nouvelle vulnérabilité dans Java 7 update 7 <img data-src=" />



@ gouessej : Je ne répondrais pas à ton dernier message, ce débat est stérile et nous ne serons clairement jamais d’accord. Surtout que tu as l’air de prendre un malin plaisir à tout recentrer sur Java lui même et non sur le plugin Java. Il me semblait pourtant avoir été suffisamment clair, il faut croire que non. “Je me soucie de la sécurité.” m’a juste fait éclater de rire, réellement.








dfzefsfsrg a écrit :



J’ai essayé de le désactiver hier … 30 secondes après, je le réactivais, il est pas aussi inutile que je le pensais en fait <img data-src=" />



C’est peut être des fonctions toutes connes, mais je ne pouvais plus utiliser les flèches pour passer d’une page à l’autre sur un reader, et je me vois mal aller cliquer sur “next” à chaque page avec la souris.

J’ai pas poussé plus loin l’expérimentation et recherché la version 1.6 update 34 <img data-src=" />







Au temps pour moi alors, je n’imaginais pas qu’il existait encore des readers utilisant Java. C’est sur quel site ?



En tout cas je vire le plugin Java sur toutes mes machines et celles de mes connaissances proches, personne n’a eu de problème ensuite.



Fermer