Faille de sécurité critique dans Java 7 Update 6
Pouvant être exploitée pour installer des malwares, sa désactivation recommandée

Le , par Hinault Romaric, Responsable Actualités
Les experts en sécurité tirent la sonnette d’alarme pour la dernière version de la plateforme Java. Java 7 Update 6 serait sujet à une vulnérabilité activement exploitée.

Les chercheurs en sécurité du cabinet FireEye ont découvert une faille de sécurité dans la plateforme pouvant être exploitée pour infecter des ordinateurs avec des logiciels malveillants. La vulnérabilité aurait été utilisée pour installer à distance le cheval de Troie Poison Ivy, qui a été utilisé dans le passé dans de nombreuses campagnes de cyberespionnage.

Les experts en sécurité ont classé cette vulnérabilité comme extrêmement critique, car elle permet l’exécution de code arbitraire sur les systèmes vulnérables sans l’intervention de l’utilisateur.

Les risques d’attaques par des pirates sont élevés d’autant plus qu’une preuve de faisabilité (PoC) aurait déjà été publiée sur Internet. Le PoC aurait même été utilisé pour créer un autre exploit pour une utilisation avec le Framework de test populaire Metasploit.

L’exploit pour Metasploit a été testé avec succès sur la mise à jour Java 7 Update 6, en utilisant différents navigateurs et systèmes d’exploitation dont Firefox sur Ubuntu 10.04, Internet Explorer, Chrome et Firefox sur Windows XP, Vista et Windows 7, Firefox et Safari sur Mac OS X 10.7.4.

Oracle n’a pas encore publié de commentaire concernant cette faille ou annoncé une date pour la sortie d’un correctif de sécurité. Selon le calendrier de l’éditeur, une mise à jour de la plateforme Java est prévue pour mi-octobre.

Pour l’instant, il est vivement conseillé aux utilisateurs de cette version de Java de désactiver complètement la plateforme, jusqu’à ce qu’un correctif soit disponible.

La vulnérabilité affecte uniquement le JRE (Java Runtime Environment) 1.7 qui contient Java 7 Update 6. Les versions 1.6 et antérieures du JRE ne sont pas concernées.

Source : Secunia, FireEye, Rapid7

Et vous ?

Utilisez-vous Java 7 Update 6 ? Que pensez-vous de cette faille ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de tchize_ tchize_
http://www.developpez.com
Expert Confirmé Sénior
le 28/08/2012 12:00
mi-octobre, y a pas a dire, toujours aussi rapide sur les patchs de sécurité chez oracle

Il serait peut-être utile de préciser que le problème est lié aux applets. Il ne faut pas virer non plus complètement java de sa machine, juste désactiver applets et, je suppose, webstart.
Avatar de Dynamès Dynamès
http://www.developpez.com
Membre habitué
le 28/08/2012 13:56
Bon, heureusement je suis encore en java update 5.

Mais si j'avais eu la proposition de maj avant de voir cette information, j'aurais sans doute validé cette maj...

Mi-octobre alors qu'une énorme faille est signalé, faut quand même pas abusé là...
Avatar de Crazyfaboo Crazyfaboo
http://www.developpez.com
Membre confirmé
le 28/08/2012 14:02
Citation Envoyé par tchize_  Voir le message
mi-octobre, y a pas a dire, toujours aussi rapide sur les patchs de sécurité chez oracle

Microsoft fait normalement une MAJ le Mardi toutes les deux semaines... C'est mieux, certes, mais ils ont également beaucoup plus de choses à mettre à jour...

Citation Envoyé par Dynamès
Mi-octobre alors qu'une énorme faille est signalé, faut quand même pas abusé là...

+
Citation Envoyé par Hinault Romaric
Oracle n’a pas encore publié de commentaire concernant cette faille ou annoncé une date pour la sortie d’un correctif de sécurité.

Ca veut juste dire qu'Oracle n'a pas répondu. Rien ne dit qu'il n'y aura pas un patch d'urgence si cette faille est aussi critique que ce qu'il y parait.
Microsoft a déjà cassé plusieurs fois son calendrier pour publier des patchs critiques. J'espère qu'Oracle le fera aussi. Pour l'instant, on ne sait tout simplement pas. A noter qu'Oracle a déjà fait des Critical Patch update il y a peu de temps...

Citation Envoyé par Dynamès
Bon, heureusement je suis encore en java update 5.

Pas sûr. La faille peut avoir été découverte pour l'update 6 et non testée encore pour l'update 5...
Avatar de Dynamès Dynamès
http://www.developpez.com
Membre habitué
le 28/08/2012 14:06
Pas sûr. La faille peut avoir été découverte pour l'update 6 et non testée encore pour l'update 5...

Oui, mais ayant découvert cette faille pour l'update 6, ils ont surement voulu savoir ce qu'il en était pour les update précédents avant de dire"telle et telle version est vulnérable" non?

Ca veut juste dire qu'Oracle n'a pas répondu. Rien ne dit qu'il n'y aura pas un patch d'urgence si cette faille est aussi critique que ce qu'il y parait.
Microsoft a déjà cassé plusieurs fois son calendrier pour publier des patchs critiques. J'espère qu'Oracle le fera aussi. Pour l'instant, on ne sait tout simplement pas. A noter qu'Oracle a déjà fait des Critical Patch update il y a peu de temps...

Oui c'est vrai tu as raison de me le faire remarquer. N'allons pas trop vite en besogne en ce qui concerne les réactions d'oracle.
Avatar de Uther Uther
http://www.developpez.com
Expert Confirmé Sénior
le 28/08/2012 14:11
Citation Envoyé par tchize_  Voir le message
mi-octobre, y a pas a dire, toujours aussi rapide sur les patchs de sécurité chez oracle

Il s'agit du calendrier planifié des mises à jour. Vu la gravité de la faille, ça m'étonnerait qu'il attendent jusque là pour faire un correctif.
Avatar de Crazyfaboo Crazyfaboo
http://www.developpez.com
Membre confirmé
le 28/08/2012 14:14
Citation Envoyé par Dynamès  Voir le message
Oui, mais ayant découvert cette faille pour l'update 6, ils ont surement voulu savoir ce qu'il en était pour les update précédents avant de dire"telle et telle version est vulnérable" non?

On peut supposer que oui... mais encore une fois, pas sûr tant que c'est pas écrit quelque part noir sur blanc (ou rouge sur noir, vert sur marron, peu importe ^^).

Le plus simple serait que tu testes ta version de Java 7 (u5 donc) avec metasploit. Là, on serait vraiment fixé !
Avatar de JoeChip JoeChip
http://www.developpez.com
Membre chevronné
le 28/08/2012 15:10
Sinon en principe, si on n'exécute pas des trucs suspects, et qu'on ne compte pas uniquement sur la sécurité de la JVM, le risque semble limité non ? Enfin, je veux dire, comme d'hab quoi ...?
Avatar de tchize_ tchize_
http://www.developpez.com
Expert Confirmé Sénior
le 28/08/2012 15:19
en gros avec cette faille, si j'ai bien compris, une applet est aussi sure qu'un activex sous internet explorer
Avatar de rt15 rt15
http://www.developpez.com
Membre éprouvé
le 28/08/2012 16:25
Citation Envoyé par JoeChip  Voir le message
Sinon en principe, si on n'exécute pas des trucs suspects, et qu'on ne compte pas uniquement sur la sécurité de la JVM, le risque semble limité non ? Enfin, je veux dire, comme d'hab quoi ...?

Le problème avec ces fichus applets est qu'ils ont une fâcheuse tendance à être exécutés par le navigateur, qui ne demande pas forcément confirmation avant de le faire. Ça dépend du navigateur et de sa configuration, mais par défaut ils ont plutôt tendance à autoriser.

Par exemple, si vous allez sur cette page et que vous finissez par voire une tête sur fond jaune et deux boutons, après un temps de chargement certain et un peu honteux pour ce que c'est...
Ça veut dire que votre navigateur exécute les applets (Tout du moins ceux qui ne demandent pas de droits supplémentaires, tel que l'accès au disque) sans rien vous demander !

Et là il suffit d'aller sur une page web avec un applet qui exploite la faille, si vous avez java avec la faille correspondante, vous êtes mort.

Perso, je crois avoir été infecté 3 fois, et ce a priori une fois par un ActiveX (Dont j'ai autorisé l'exécution), et deux fois par des applets (Qui se sont exécutés sans que je demande rien. La petite icône java apparaît dans la barre de notification, le PC rame un peu... Bingo t'es infecté. La pub en rafale va pas tarder !)

Donc si vous surfez dans des zones pas très clean... Désactivez java dans le navigateur ! Java ça sert quasi jamais sur le web de toute façon.

[edit]
Surtout que les failles java c'est très à la mode, voire ici ou .
Avatar de tchize_ tchize_
http://www.developpez.com
Expert Confirmé Sénior
le 28/08/2012 19:21
personellement, avec la part de marché des applets, avec le peu de succès de javafx (j'ai vu plus de sites en sivlerlight qu'en javafx, c'est tout dire) et vu comment c'est toujours aussi rapide à charger ces bousins, je me demande franchement si la politique d'oracle ne s'oriente pas vers l'option "laissons pourir les applets jusqu'à ce que tout le monde aie oublié leur existance et puis supprimons le support"
Offres d'emploi IT
Ingénieur développement delphi h/f
CDI
Florian Mantione Institut - Languedoc Roussillon - Montpellier (34000)
Parue le 16/10/2014
Gestion de projets h/f
Stage
Société Générale France - Ile de France - Paris La Défense
Parue le 07/10/2014
Développeur fullstack ruby on rails
CDI
Job4geek - Ile de France - Paris (75000)
Parue le 20/10/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula