Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Oracle corrige une faille critique dans l’installeur de Java

Veuillez rester assis et ne rien faire

Oracle corrige une faille critique dans l'installeur de Java

Le 09 février 2016 à 07h30

Oracle a publié une mise à jour critique pour Java, hors de son cycle habituel réservé aux correctifs. L’éditeur veut colmater une brèche curieuse, pas nécessairement simple à exploiter, mais qui peut compromettre intégralement la machine si exploitée.

Même si l’intensité de l’actualité a diminué autour de la sécurité de Java, notamment grâce à la mise en place d’un cycle mensuel pour les correctifs, il arrive encore à la technologie de faire parler d’elle. C’est le cas aujourd’hui avec un bulletin critique hors cycle au sujet d’une faille touchant l’installeur de Java pour les versions 6, 7 et 8.

Cette faille, identifiée par la référence CVE-2016-0603, n’est pas simple à exploiter. D’une manière ou d’une autre, un pirate doit enjoindre un utilisateur de récupérer un exécutable d’installation de Java et lui faire lancer. Un peu d’ingénierie sociale devrait aider, quitte à maquiller l’installeur en autre chose. La faille ne peut être exploitée que durant la phase d’installation, mais si le pirate y arrive, il peut obtenir le contrôle de la machine.

La brèche ne peut pas être exploitée à distance véritablement puisqu’elle requiert l’intervention « volontaire » de la victime. Cependant, même ainsi, Oracle considère tout de même la faille suffisamment sérieuse pour nécessiter un bulletin hors cycle, le conseil qui l’accompagne est cependant inusité car il n’est même pas recommandé de mettre à jour Java. Le problème résidant dans l’installeur, il faut simplement penser à récupérer l’exécutable pour être certain d’avoir la dernière révision en cas de réinstallation.

Les trois dernières versions majeures ont été mises à jour. Si vous téléchargez l’exécutable, il faut donc vous assurer qu’il s’agit bien à chaque fois du dernier en date :

  • Java 8 Update 79
  • Java 7 Update 97
  • Java 6 Update 113

Comme indiqué par Eric Maurice sur le blog d’Oracle, toutes les versions précédentes sont vulnérables. 

Commentaires (24)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







Vekin a écrit :



En même temps, à partir du moment où un pirate envoie un exécutable et que l’utilisateur est assez naïf pour l’exécuter, il peut faire ce qu’il veut, installateur de Java ou pas.





d’où les parties “ingénierie sociale” (ie se faire passer pour un donneur de conseil legit) et “action volontaire de la victime” qui rendent l’exploit difficile à mettre en oeuvre

Y a pas écrit “ceci est un message envoyé par un pirate” en objet non plus, hein <img data-src=" />

(en outre, sous estimer la ‘naïveté’ de l’utilisateur médian est une terrible erreur <img data-src=" /> )


votre avatar

Au hasard, une version d’open office qui demandait le Java, et se débrouiller pour fournir son installeur java

(du genre offline installeur, prenez le sur mon site, etc)…



(remplacer Open Office par n’importe quel logiciel dont vous pourriez être tenté d’utiliser un exe fourni par un tiers).

Encore au hasard: word piraté (mais bon là, on l’a cherché aussi)

votre avatar

Oui, mais ce n’est pas spécifique à l’installateur Java. N’importe quel exécutable peut être une menace, alors à partir du moment où le pirate réussi à convaincre un utilisateur à exécuter un exécutable, le mal est fait…

votre avatar

Je suis un homme simple et comme toujours quand la notification java pop, je click sur suivant sans poser de question… depuis toujours, encore et encore :]

votre avatar







Vekin a écrit :



Oui, mais ce n’est pas spécifique à l’installateur Java. N’importe quel exécutable peut être une menace, alors à partir du moment où le pirate réussi à convaincre un utilisateur à exécuter un exécutable, le mal est fait…





oui là on est d’accord. À partir du moment où l’utilisateur lui-même est compromis et/où qu’il y a un accès direct à une machine, parler de sécurité ou de faille perd un peu de sens ^^


votre avatar

Et voilà, on l’aurait pas imaginé, Java l’a fait ! Une faille critique dans l’installeur !&nbsp;<img data-src=" />

votre avatar







Soltek a écrit :



Ouaip, 8.73.





Ou 8 Up 74. Les deux sont possibles mais la 8 Up 73 est considérée à jour.


votre avatar

Pour le JRE, ce n’est même pas la 73, mais la 74…



http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.h…

votre avatar

J’ai “signalé l’erreur”, mais j’ai l’impression qu’il y a une erreur dans la description de la faille.



Slashdot a donné une version plus “imagée” dans cet article :http://developers.slashdot.org/story/16/02/08/220233/java-installer-flaw-shows-w…



La faille est que sur un site ton navigateur va télécharger un fichier DLL “vérolé”, mais qui donc en lui même est inoffensif. Mais lors de la prochaine installation de Java, l’installer vas aller rechercher la DLL dans le rep download au lieu d’aller chercher la version dans ton rep system.



C’est pas parfaitement clair, mais c’est bien ce que dit CVE-2016-0603 :

To be successfully exploited, this vulnerability requires that an unsuspecting user be tricked into visiting a malicious web site and download files into the user’s system before installing Java SE 6, 7 or 8. Though relatively complex to exploit, this vulnerability may result, if successfully exploited, in a complete compromise of the unsuspecting user’s system.

votre avatar

Si je comprend bien la faille ce ne sont pas les seuls :

http://it.slashdot.org/story/16/02/08/193244/researcher-finds-tens-of-software-p…

votre avatar

Mince, je croyais que la faille critique dans l’installateur Java, c’était la barre d’outil Ask … <img data-src=" />

votre avatar
votre avatar







Arcy a écrit :



Mince, je croyais que la faille critique dans l’installateur Java, c’était Javala barre d’outil Ask … <img data-src=" />







<img data-src=" />



(Quitte à <img data-src=" />, autant aller au bout des choses <img data-src=" />)


votre avatar

Pourtant à la base, c’est un véritable constat : Java = programme sponsor qui s’installe (pour les néophytes “nan j’ai pas installé ça, j’ai juste fait Suivant”).

votre avatar

On dirait du Corneille dans le cid:

“ O racle, oh désespoir …”

votre avatar







Exception a écrit :



Et voilà, on l’aurait pas imaginé, Java l’a fait ! Une faille critique dans l’installeur ! <img data-src=" />



Peut mieux faire. Tu aurais pu dire:

Chez Windows c’est l’installeur lui-même qui est une faille ! <img data-src=" />





Il est temps que tu partes en vacances.

Loin, très loin…


votre avatar

Je n’ai qu’une 8.73 à télécharger chez Java (du 05/02). Aucune trace d’une 8.79 pour le moment.

Et le blog fait bien mention d’une 8.73.

votre avatar

Pour la Java 8 je confirme que c’est bien une 8.73 qui mentionne bien la CVE en question.

votre avatar

Ouaip, 8.73.

votre avatar

En même temps, à partir du moment où un pirate envoie un exécutable et que l’utilisateur est assez naïf pour l’exécuter, il peut faire ce qu’il veut, installateur de Java ou pas.

votre avatar

+1

votre avatar







Exception a écrit :



Et voilà, on l’aurait pas imaginé, Java l’a fait ! Une faille critique dans l’installeur ! <img data-src=" />







<img data-src=" />



Du coup, que faut-il faire ? Installer Java ou pas installer Java ? <img data-src=" />

Nan, parce que si c’est pour avoir les failles pendant et après… <img data-src=" />


votre avatar

Ben prochaine étape, la faille pour le désinstalleur…<img data-src=" />

votre avatar

Bon bah ca tombe bien :

l’interface chaise clavier (qui est une passoire) installe un soft (Java) qui est une passoire, avec un installer qui est une passoire, sur un OS qui est une passoire.

La boucle est bouclée, en un sens.

Un maillon sécurisé dans la chaine, ca aurait fait mauvais genre.

Oracle corrige une faille critique dans l’installeur de Java

Fermer