Faille de sécurité critique dans Java 7 : Oracle informé depuis avril 2012
Et ne réagit toujours pas

Le , par Hinault Romaric, Responsable Actualités
Mise à jour du 30/08/2012

Depuis le début de cette semaine, l’écosystème Java est secoué par une faille de sécurité critique pouvant être exploitée pour installer des logiciels malveillants (lire ci-devant).

La vulnérabilité qui touche la version 1.7.x du JRE (Java Runtime Environment), peut être utilisée pour désactiver le SecurityManager et par conséquent le sandbox de Java pour exécuter du code arbitraire sur les systèmes vulnérables sans l’intervention de l’utilisateur.

Les experts en sécurité ont fait écho de cette faille après des analyses approfondies, révélant les systèmes d’exploitation touchés, les potentiels risques, les preuves de réalisation, etc.

Mais jusqu’ici, malgré tout ce remue-ménage, Oracle fait la sourde oreille et n’a encore publié aucun avis de sécurité ou annoncé une date pour une mise à jour. Ce qui parait le plus surprenant est qu’il semblerait que la société soit au courant de cette faille depuis avril 2012.

Le cabinet polonais Security Explorations avait publié un avertissement depuis le 2 avril 2012 et aurait informé Oracle, qui ne prendra même pas la peine de référencer le problème dans son bulletin d’alerte de sécurité.

Jusqu’ici, la page qui traite des questions de sécurité de la firme annonce la prochaine mise à jour de Java SE pour le 16 octobre 2012. Plus qu’à espérer que d’ici là, un correctif d’urgence soit publié.

Pour l’instant, les utilisateurs n’ont que comme alternative la désactivation du plug-in Java dans leur navigateur. Pour rappel, la faille touche Firefox sur Ubuntu 10.04, Internet Explorer, Chrome et Firefox sur Windows XP, Vista et Windows 7, Firefox et Safari sur Mac OS X 10.7.4.

Source : Avertissement de Security Explorations, Alerte d'Oracle sur la faille

Et vous ?

Que pensez-vous de l’attitude d'Oracle ?


 Poster une réponse

Avatar de Gugelhupf Gugelhupf
Membre émérite
le 30/08/2012 14:28
Des fois je suis surpris de lire des articles comme celui-ci, je me dis que nous sommes peut-être quelques milliers d'informaticiens à lire ces infos et qu'il doit y avoir des centaines de milliers d'autres personnes qui n'en seront jamais au courant et qui seront peut-être affectés.

Je ne comprend pas trop cette haine des plugins et l'émerveillement devant le javascript. Ce vieux langage pourris des années 90 que personne voulait utiliser.
Toutes ces années de recherches sur les Langages pour finalement imposer Javascript comme langage universel

Pour moi JavaScript n'est pas un langage très au point, mais je pense que les gens préfèrent rester avec cela et utiliser des frameworks cache-misère (qui avouons le sont très pratiques pour développer) que d'apprendre un énième nouveau langage.
Avatar de Crazyfaboo Crazyfaboo
Membre confirmé
le 30/08/2012 14:35
Si Oracle est au courant depuis Avril, ça veut dire que ça concernait aussi Java 7 update 3, 4 et 5...
Avatar de thelvin thelvin
Modérateur
le 30/08/2012 14:47
Citation Envoyé par Gugelhupf  Voir le message
Des fois je suis surpris de lire des articles comme celui-ci, je me dis que nous sommes peut-être quelques milliers d'informaticiens à lire ces infos et qu'il doit y avoir des centaines de milliers d'autres personnes qui n'en seront jamais au courant et qui seront peut-être affectés.

C'est pour ça que Firefox se permet de désactiver des plugins de temps en temps, en demandant à peine l'avis de la personne mal informée. On peut en dire ce qu'on veut en terme de comportement politique, en attendant c'est une sécurité accessible à tout le monde.

Citation Envoyé par Gugelhupf  Voir le message
Pour moi JavaScript n'est pas un langage très au point, mais je pense que les gens préfèrent rester avec cela et utiliser des frameworks cache-misère (qui avouons le sont très pratiques pour développer) que d'apprendre un énième nouveau langage.

Spas un nouveau langage à apprendre, s't'un nouveau langage à adapter, sécuriser, accélérer, intégrer, déployer. Pas la même chose.
Avatar de Freem Freem
Expert Confirmé
le 30/08/2012 16:24
Et sinon... je sais que java a tendance à être installé par défaut sur nombre de machines, mais... vous en avez beaucoup vous, en tant qu'utilisateurs, des applications java? Ou vous en voyez beaucoup des applets java sur le net?

Quand j'y pense vraiment, je me dis qu'aucune machine parmi celles que j'utilise actuellement n'utilise java... Alors à part les terminaux mobiles d'android, qu'est-ce qui est réellement affecté?

Quand on dit "faut pas désinstaller java pour si peu" ok, mais... désinstaller les logiciels dont on ne se sert pas est aussi un élément de sécurité. Et je me demande vraiment si JAVA sert tant que ça... p'tet en entreprise avec les logiciels internes?

En tout cas, chapeau oracle pour la réactivité... plus de 4 mois sans corriger une faille d'une telle criticité, c'est impressionnant.
Avatar de JoeChip JoeChip
Membre chevronné
le 30/08/2012 16:42
Entendu parler de Minecraft...?
Avatar de zyhou zyhou
Membre du Club
le 30/08/2012 17:00
jdownloader pour ma part.
Avatar de ghuysmans99 ghuysmans99
Candidat au titre de Membre du Club
le 30/08/2012 17:11
@Freem : OpenSign, des applis gouvernementales belges comme Tax-On-Web...
Avatar de guidav guidav
Membre émérite
le 30/08/2012 17:54
Citation Envoyé par Freem  Voir le message
Et sinon... je sais que java a tendance à être installé par défaut sur nombre de machines, mais... vous en avez beaucoup vous, en tant qu'utilisateurs, des applications java? Ou vous en voyez beaucoup des applets java sur le net?

La déclaration d'impôts en France, non ?

Sinon, il y a pas mal d'applis internes qui sont développées en java.
Avatar de dragon-noir dragon-noir
Candidat au titre de Membre du Club
le 30/08/2012 19:47
bonsoir ,
java7 update 7

dispo sur http://java.com/fr/download/manual.jsp

ne sait pas s'il elle comble la faille de sécurité silence radio pour l'instant

http://www.oracle.com/technetwork/ja...ads/index.html

Mise à jour Java SE 7 7 Paru
Cette mise à jour corrige des vulnérabilités de sécurité récentes. Oracle recommande vivement à tous les utilisateurs de Java SE 7 jour vers cette version.
http://www.oracle.com/technetwork/ja...iew/index.html
Avatar de Uther Uther
Expert Confirmé Sénior
le 30/08/2012 21:08
Citation Envoyé par tchize_  Voir le message
ouais mais du coup ça fait deux sandbox à contourner et contourner la sandbox IE à partir du java....

A partir du moment ou tu as désactivé la sandbox Java, tu peux faire appel à du code natif.

Citation Envoyé par Freem  Voir le message
Alors à part les terminaux mobiles d'android, qu'est-ce qui est réellement affecté?

Android se base sur sa propre VM (un dérivé de Harmony), il n'est donc pas affecté.

Citation Envoyé par Freem  Voir le message
Quand on dit "faut pas désinstaller java pour si peu" ok, mais... désinstaller les logiciels dont on ne se sert pas est aussi un élément de sécurité. Et je me demande vraiment si JAVA sert tant que ça... p'tet en entreprise avec les logiciels internes?

Il est vrai que Java est très peu utilisé pour les applets.
Mais il reste encore utilisé pour les applications. Pour ne citer que celles de j'utilise régulièrement : Azureus, Minecraft, Eclipse, JEdit... Dans le cadre des applications locales, ce genre de faille est généralement sans conséquence.

Donc dire désinstaller Java est clairement abusé. Par contre désactiver le plugin du navigateur est une bonne idée si on n'en a pas usage, et même indispensable en ce moment.
Avatar de wax78 wax78
Modérateur
le 30/08/2012 23:31
Citation Envoyé par ghuysmans99  Voir le message
@Freem : OpenSign, des applis gouvernementales belges comme Tax-On-Web...

Merde j'ai raté l'occasion d'être riche cette année ^^
Avatar de tchize_ tchize_
Expert Confirmé Sénior
le 30/08/2012 23:52
Citation Envoyé par wax78  Voir le message
Merde j'ai raté l'occasion d'être riche cette année ^^

Reve pas c'est du java serveur, pas concerné par ce problème d'appelt
Avatar de wax78 wax78
Modérateur
le 31/08/2012 9:15
C'était une vanne hein
Avatar de andry.aime andry.aime
Rédacteur/Modérateur
le 31/08/2012 9:33
Ce n'est pas que java 7 mais java 6 aussi est concerné sauf que ce n'est pas critique que celui de 7. http://www.oracle.com/technetwork/to...1-1835715.html
Avatar de Uther Uther
Expert Confirmé Sénior
le 31/08/2012 10:46
A priori il y a aussi le "getField" dans AWT mais comme il est inexploitable, sans utiliser la classe "Expression", Java 6 est bien sur.
Avatar de Hinault Romaric Hinault Romaric
Responsable Actualités
le 31/08/2012 10:46
Oracle publie une mise à jour d’urgence
pour corriger la faille de sécurité critique dans Java 7

Mise à jour du 31/08/2012

Oracle sort enfin de son silence.

L’éditeur vient de publier une mise à jour de sécurité d’urgence pour corriger la faille de sécurité critique dans Java 7 qui a fait l’objet de plusieurs articles des experts en sécurité.

La vulnérabilité peut être exploitée par un pirate à distance sans authentification via une page web malicieuse qui après consultation, peut affecter la disponibilité, l’intégrité et la confidentialité du système d’exploitation de l’utilisateur.

Pour mettre les utilisateurs de Java à l’abri des potentielles attaques, Oracle rompt donc avec son traditionnel cycle de publication de correctifs trimestriels. La prochaine mise à jour de Java SE était prévue pour le 16 octobre prochain.

Mais, il faut noter cependant que l’éditeur était au courant de cette vulnérabilité depuis avril 2012 (lire ci-devant), et sans la prolifération des preuves de faisabilité (PoC) sur internet, celui-ci n’allait probablement pas bouger le petit doigt jusqu’au mois d’octobre.

En raison de la gravité de la faille, Oracle recommande l’installation de ce patch dès que possible. La mise à jour étiquetée Java 7 Update 7 est téléchargeable depuis la page Java SE Downloads. Les utilisateurs de Windows pourront recevoir automatiquement ce correctif.

Le patch doit être appliqué pour toutes les versions de Java 7. Pour les versions antérieures, il n’est pas obligatoire.

Télécharger la mise à jour Java 7u7

Source : Oracle
Avatar de Crazyfaboo Crazyfaboo
Membre confirmé
le 31/08/2012 11:34
Oracle n'a cependant pas communiqué sur la faille de sécurité en question. Il serait très surprenant que cette mise à jour hors planning et post-"scandale" ne corrige pas la faille. Cela dit, quelques tests s'avèrent tout de même nécessaire. D'autant plus qu'ils ont peut-être créé d'autres failles en la corrigeant (sûrement à la va-vite)...
Bien qu'Oracle ait publié une MAJ, mais pas bien qu'ils ne communiquent pas sur la faille en particulier.
Avatar de tchize_ tchize_
Expert Confirmé Sénior
le 31/08/2012 12:16
Citation Envoyé par Uther  Voir le message
A priori il y a aussi le "getField" dans AWT mais comme il est inexploitable, sans utiliser la classe "Expression", Java 6 est bien sur.

Bof, à partir du moment où AWT expose une méthode permettant de tripatouiller des champs par introspection avec les droits du SM awt, pas impossible que d'autres moyens d'exploiter soient trouvables.
Avatar de Philippe Bastiani Philippe Bastiani
Membre Expert
le 01/09/2012 15:31
Le patch d'Oracle semble bien corriger la faille 0-Day CVE-2012-4681 (Java7 et Java6up34) ainsi que plusieurs autres failles... Mais (source Zataz), la société polonaise Security Explorations affirme avoir découvert d'autres failles du même type

Par ailleurs, la faille 0-Day resterait ouverte sous Mac Snow Leopard (la JVM n'étant pas gérée par Oracle pour cette version de l'OS).

Toujours est-il: imho, demander de désactiver complètement la plateforme Java est plus qu'excessif... Je n'ai pas souvenance d'un tel conseil lorsqu'une faille concerne directement l'un de nos navigateurs Internet ou un OS !
Avatar de Hinault Romaric Hinault Romaric
Responsable Actualités
le 03/09/2012 16:16
Java : une vulnérabilité découverte dans le correctif d’urgence publié par Oracle
pouvant produire les mêmes dommages

Mise à jour du 03/09/2012

La mise à jour de sécurité Java 7 update 7 publiée la semaine dernière par Oracle contient une nouvelle faille critique pouvant entrainer les mêmes dommages que la vulnérabilité qu’elle corrige.

Java 7 u 7 avait été publié d’urgence comme correctif à une vulnérabilité critique dans la plateforme, pouvant être exploitée à distance par un pirate via une page web malicieuse qui, après consultation, pouvait affecter la disponibilité, l’intégrité et la confidentialité du système d’exploitation de l’utilisateur (lire ci-devant).

Le cabinet polonais Security Explorations qui avait découvert la précédente faille a annoncé qu’il avait trouvé une autre vulnérabilité dans la dernière version de Java.

Selon le PDG de Security Explorations Adam Gowdiak , la vulnérabilité permettrait à un pirate de contourner complètement la sécurité du sandbox Java, et d'installer des logiciels malveillants ou d'exécuter du code sur les systèmes affectés.

Pour l’instant, cette vulnérabilité ne serait pas encore activement exploitée. Security Explorations a déclaré qu’il n’avait découvert aucun exploit reposant sur cette faille. Mais, pour combien de temps ?

Les détails sur le problème ainsi qu’une preuve de réalisation ont été transmis à Oracle. Security Explorations s’est abstenu de les divulguer publiquement afin de limiter les risques.

Avant une réaction d’Oracle, compte tenu de la similitude avec la précédente faille, il est recommandé de désactiver le plug-in Java dans les navigateurs.

Source
Avatar de Squeak Squeak
Membre actif
le 03/09/2012 19:35
Ca confirme quand même que la plupart des failles d'Internet viennent des plugins et non du navigateur en lui même. Java est beaucoup moins nécessaire aujourd'hui sur le Web et personnellement, j'ai fini par le désactiver aussi.

Concernant la mise à jour qui comporte elle-même une faille, Oracle a sans doute voulu faire trop vite...

Citation perso :

La sécurité sur Internet est inversement proportionnelle au niveau de richesse et d'interactivité que propose un site.
Avatar de Uther Uther
Expert Confirmé Sénior
le 03/09/2012 19:41
Et pas que sur internet.
C'est bien connu que le système le plus sur jamais réalisé c'est : http://www.bernardbelanger.com/computing/NaDa/index.php
Avatar de wax78 wax78
Modérateur
le 03/09/2012 20:04
lol j'adore ce soft Nada :p
Avatar de Philippe Bastiani Philippe Bastiani
Membre Expert
le 03/09/2012 23:13
Citation Envoyé par Hinault Romaric  Voir le message
Java : une vulnérabilité découverte dans le correctif d’urgence publié par Oracle pouvant produire les mêmes dommages

Celà confirme le billet d'Eric Romang cité plus haut autres détails ici

Mais l'origine de la faille n'est pas claire: est-ce du au patch ou était-elle présente sur Java7up6 et Java6up34 ?

Perso, je dirais, que les personnes ne pouvant désactiver l'extension Java de leur explorateur internet ont tout intéret à revenir à Java6up33.

Des bugs il y en a dans tous les soft... il n'en reste pas moins que la gestion de la situation par Oracle ressemble à celle de Microsoft il y a 10 ans Bref, pas très pro !

En parlant de faille 0day: les gars Oracle font malgré eux le buzz... mais IMHO, Adobe fait encore plus fort en ce moment... et, pourtant, la presse du moment ne conseille pas de désactiver leur player ! Vas savoir pourquoi !
Avatar de deathness deathness
Expert Confirmé
le 04/09/2012 9:16
Citation Envoyé par Squeak  Voir le message
Ca confirme quand même que la plupart des failles d'Internet viennent des plugins et non du navigateur en lui même. Java est beaucoup moins nécessaire aujourd'hui sur le Web et personnellement, j'ai fini par le désactiver aussi.

Concernant la mise à jour qui comporte elle-même une faille, Oracle a sans doute voulu faire trop vite...

Citation perso :

La sécurité sur Internet est inversement proportionnelle au niveau de richesse et d'interactivité que propose un site.

Bah le navigateur devient de plus en plus "simple" en fait, donc c'est aussi moins de porte d'entrée. La mode est au navigateur simple qu'on améliore par ajout, et donc c'est bien là que les risques sont grands.
Avatar de Freem Freem
Expert Confirmé
le 04/09/2012 9:55
Citation Envoyé par Philippe Bastiani  Voir le message
et, pourtant, la presse du moment ne conseille pas de désactiver leur player ! Vas savoir pourquoi !

Peut-être parce qu'il y a vachement plus de sites qui utilisent flash?
Genre, par exemple, les sites des streaming. Les sites de jeux, aussi.

D'ailleurs, le jour où ce sera possible de se passer de flash, rassures-toi, je pense que nombreux seront ceux qui le feront... notamment sous linux ou ce truc à une stabilité douteuse.
Avatar de Gugelhupf Gugelhupf
Membre émérite
le 04/09/2012 10:45
Est-ce que ces failles peuvent aussi apparaitre dans un autre langage comme C# ou on les découvre plus en Java parce que celui-ci est très utilisé ?
Avatar de deathness deathness
Expert Confirmé
le 04/09/2012 10:53
Citation Envoyé par Gugelhupf  Voir le message
Est-ce que ces failles peuvent aussi apparaitre dans un autre langage comme C# ou on les découvre plus en Java parce que celui-ci est très utilisé ?

Java est très utilisé pour le net, qui est donc la cible privilégié des attaques; D'ou la découverte de ces failles.

Le c# en a surement, mais comme il est beaucoup moins utilisé sur le net, ça n'a pas vraiment d'importance.
Avatar de rt15 rt15
Membre éprouvé
le 04/09/2012 11:55
Citation Envoyé par Gugelhupf  Voir le message
Est-ce que ces failles peuvent aussi apparaitre dans un autre langage comme C# ou on les découvre plus en Java parce que celui-ci est très utilisé ?

Encore une fois, cette faille n'a d'intérêt qu'utilisée dans un applet.
Et encore une fois aussi, java est peu utilisé sur le net côté client. Par contre la plupart des navigateurs exécutent les applets. Donc énormément d'utilisateurs lambda sont vulnérables.

Une faille équivalente en C# reviendrait à une élévation de privilège dans une application silverlight. Ce type de faille est effectivement moins intéressant en terme de parc attaquable car moins de navigateurs d'utilisateurs lambda dispose de la capacité à exécuter des application silverlight. Ce bulletin parle de la découverte de ce type de faille. Les détails sont dans "Informations par vulnérabilité".
Avatar de camus3 camus3
Membre Expert
le 04/09/2012 13:11
La sécurité sur Internet est inversement proportionnelle au niveau de richesse et d'interactivité que propose un site.

non puisqu'un site peut être infecté par un code javascript malicieux , à l'insu du propriétaire du site.
Personnellement par défaut je désactive tout ,et active les fonctionnalités telles que javascript ou flash si et seulement si elles sont nécessaires.
Avatar de Squeak Squeak
Membre actif
le 04/09/2012 20:09
Citation Envoyé par camus3  Voir le message
non puisqu'un site peut être infecté par un code javascript malicieux , à l'insu du propriétaire du site.
Personnellement par défaut je désactive tout ,et active les fonctionnalités telles que javascript ou flash si et seulement si elles sont nécessaires.

Hors une attaque sur un site (et dans ce cas, l'attaquant peut tout faire et y insérer ce qu'il veut), je parlais plutôt des très nombreuses failles de Java, Flash, lecteurs multimédia etc.
Avatar de JoeChip JoeChip
Membre chevronné
le 05/09/2012 10:01
Nan mais bon, si une seule faille dans un seul sous-sytème met en cause la sécurité de tout votre système, c'est qu'il n'est tout simplement pas sécurisé, quoi. Un peu comme un bateau qui coulerait dès qu'il pleut...
Avatar de tchize_ tchize_
Expert Confirmé Sénior
le 05/09/2012 10:10
Citation Envoyé par JoeChip  Voir le message
Nan mais bon, si une seule faille dans un seul sous-sytème met en cause la sécurité de tout votre système, c'est qu'il n'est tout simplement pas sécurisé, quoi. Un peu comme un bateau qui coulerait dès qu'il pleut...

Tu veux dire comme un bateau qui coulerais dès qu'il y aurait un trou dans le sous-système "coque immergée" ?

Mauvaise nouvelle, c'est ce que font la plupart des petits bateaux
Avatar de JoeChip JoeChip
Membre chevronné
le 05/09/2012 17:24
Tu veux dire comme un bateau qui coulerais dès qu'il y aurait un trou dans le sous-système "coque immergée" ?

Bah non, déjà la plupart des bateaux, même petits, ne coulent pas avec un trou dans la coque, beaucoup de bateaux ne sont que moyennement étanches et "font de l'eau", et en plus un trou accidentel dans une coque c'est bien plus rare qu'une faille dans un sous-système informatique... Tout est prévu sur un bateau pour pouvoir remédier à des entrées d'eau raisonnables...

Bon, après, ya les backups genre radeau de survie... Tout pareil que sur un ordi quoi : une attaque "raisonnable" sera très probablement détectée... Bon ok, c'est bien que les gens aient conscience du danger, mais bon...
Avatar de Pelote2012 Pelote2012
Membre Expert
le 06/09/2012 9:14
Je suis tout à fait d'accord avec toi JoeChip
Nan mais bon, si une seule faille dans un seul sous-sytème met en cause la sécurité de tout votre système, c'est qu'il n'est tout simplement pas sécurisé, quoi. Un peu comme un bateau qui coulerait dès qu'il pleut...

Les OS devrait être beaucoup plus strict. Ce serait déjà un premier pas... après tous les éditeurs devrait faire plus attention à ce qu'ils sorte
Avatar de tchize_ tchize_
Expert Confirmé Sénior
le 06/09/2012 9:28
Citation Envoyé par JoeChip  Voir le message
Bah non, déjà la plupart des bateaux, même petits, ne coulent pas avec un trou dans la coque, beaucoup de bateaux ne sont que moyennement étanches et "font de l'eau", et en plus un trou accidentel dans une coque c'est bien plus rare qu'une faille dans un sous-système informatique... Tout est prévu sur un bateau pour pouvoir remédier à des entrées d'eau raisonnables...

Je comparerais plutot la faille informatique au fait de n'avoir qu'une seule coque sur le bateau. Une faille informatique va être utilisée par une personne mal intentionnée, l'absence de double coque pourrais l'être aussi.

C'est juste qu'on trouve plus facilement des gens enclin à exploiter une faille informatique qu'à aller faire un trou de 30 cm dans un bateau (à 30cm le bateau coule en moins de 2 minutes et aucune pompe n'arrivera à compenser le débit d'entrée
Avatar de JoeChip JoeChip
Membre chevronné
le 06/09/2012 9:34
"Il n'y a pas de meilleure pompe qu'un seau dans les mains d'un homme terrifié"
Offres d'emploi IT
Ingénieur .net H/F
CDI
NEED SOLUTIONS - Ile de France - Paris (75009)
Parue le 23/04/2014
Ingénieur de développement Java/JEE H/F
CDI
BULL FR - Midi Pyrénées - Toulouse (31000)
Parue le 08/04/2014
TRAFIC MANAGER h/f
CDI
JOB ME UP - Nord Pas-de-Calais - Carvin (62220)
Parue le 26/03/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula