Faille de sécurité critique dans Java 7 activement exploitée
Pouvant être utilisée pour installer des malwares

Les rubriques (actu, forums, tutos) de Développez
Réseaux sociaux

 Discussion forum

Retrouvez le dossier complet de la rédaction
24/04 - Java 7 : découverte d'une faille de sécurité dans l'API Reflector, permettant de contourner la sécurité Sandbox de la plateforme
27/03 - 94 % d'utilisateurs de Java seraient exposés à des exploits, 75 % exécuteraient un JRE vieux, indique un rapport de Websense
19/03 - Lexsi démystifie les failles du plugin Java et sort un guide qui explique comment contrôler la machine d'un utilisateur à distance
05/03 - Java : Oracle publie des correctifs d'urgence pour colmater les failles de sécurité critiques de la plateforme
04/03 - Java : les correctifs sortent, les failles suivent, "le langage est un désordre qui n'est pas sécurisé" pour AlienVault Labs
05/02 - Oracle sort Java 7u13, un correctif d'urgence pour 50 failles de sécurité, dont 26 critiques
29/01 - Failles Java : Oracle s'engage à corriger et à communiquer
21/01 - Java : découverte de deux nouvelles failles dans le correctif d'Oracle, la qualité du code inquiétante pour Security Explorations
15/01 - Oracle sort un correctif d'urgence pour la faille Java, les experts en sécurité sceptiques, maintiennent la désactivation du plugin
Sur le même sujet
22/03/2013 - Un malware efface les disques durs en les forçant à rebooter, en Corée du Sud : une nouvelle attaque secrète ?
19/12/2012 - La mise à jour Java 7u10 sort, Oracle ajoute des options pour bloquer ou appliquer des restrictions aux applications Web
30/08/2012 - Faille de sécurité critique dans Java 7 : Oracle informé depuis avril 2012, et ne réagit toujours pas
23/11/2010 - Oracle annonce la sortie de Java 7 le 28 juillet 2011, l'intégration des expressions lambda et le projet Jigsaw reportée à Java 8
Le 11/01/2013, par Hinault Romaric, Responsable Actualités
Une nouvelle faille de sécurité vient d’être découverte par des chercheurs en sécurité dans la plateforme de développement Java.

Selon l’alerte de sécurité publiée par le groupe US-CERT (cellule américaine de sécurité informatique), la vulnérabilité concerne la dernière mise à jour Java 7 Update 10 et la mise à jour Java 7 Update 9 (versions qui ont été testées pour l’instant).

La faille peut être exploitée par un pirate après la visite d’un site Web compromis pour exécuter du code arbitraire à distance et installer des applications malveillantes sur le poste d’un utilisateur.

Les risques liés à cette faille sont assez élevés, dans la mesure où le code d’exploit a déjà été divulgué publiquement. Le kit de piratage BlackHole intègre une copie du code des instructions permettant d’exploiter la faille.

Pour l’instant, Oracle n’a encore fait aucun commentaire sur cette nouvelle faille. Les experts en sécurité conseillent de désactiver le plug-in Java dans le navigateur tant qu’un correctif n’a pas été publié.

Pour les utilisateurs de Java 7u10, ils pourront dans le panneau de configuration désactiver les applications Java qui s’exécutent dans le navigateur et définir un niveau de sécurité pour les applets non signés, les applications Java Web Start et les solutions embarquées JavaFX qui s’exécutent dans le navigateur.

Source : US-CERT

Et vous ?

Que pensez-vous de cette faille ?


 Poster une réponse

Avatar de ndalaba ndalaba
Nouveau Membre du Club
le 11/01/2013 13:14
Avec tout le temps de nouvelles failles de sécurité je me demande comment oracle pourra confirmer son fameux javaFX qui souffre déjà d'une mauvaise réputation due au ancienne version.
Avatar de CHbox CHbox
Membre éclairé
le 11/01/2013 14:13
J'en pense que de toute manière je n'ai pas réactivé mon plugin Java depuis très longtemps et que je vais continuer comme ça...
Avatar de ValCapri ValCapri
Membre du Club
le 11/01/2013 17:45
Je vais finir par penser qu'Apple avait raison de ne plus installer Java dans OS X par défaut ou désactiver les plugins Java.

Cela commence a faire beaucoup de failles pour le plug-in Java.

J'adore Java mais pas pour des Applets ou JavaFX. Je préfères les JSF, GWT et autres qui génèrent de l'HTML5, JS et CSS.
Avatar de mascoco mascoco
Candidat au titre de Membre du Club
le 11/01/2013 19:44
que des soucis de sécurité depuis le rachat de SUN par Oracle
Avatar de Squisqui Squisqui
Membre chevronné
le 11/01/2013 22:08
Citation:
Envoyé par mascoco Voir le message
que des soucis de sécurité depuis le rachat de SUN par Oracle
Et encore... habituellement, la faille est suivie jusqu'à SE6 du temps de Sun, donc des failles qui ont peut-être toujours été là.
Avatar de mohamine1989 mohamine1989
Membre actif
le 12/01/2013 1:06
Non mais ça c'est pas une faille, c'est un gouffre
Avatar de olivier.pitton olivier.pitton
Membre éprouvé
le 12/01/2013 8:26
Je ne pense pas que le réel problème vienne de Java, mais simplement de la façon dont on annonce la news, si je puis dire.

Une news disant : "Faille de sécurité critique", on a tendance à penser que le logiciel derrière n'est pas si vérifié et sur que cela.

Une news disant : "Nouvelle version de Chrome..." avec plein de fonctionnalités / supports et une petite ligne pour "Chrome 24 apporte des correctifs pour 24 failles de sécurité" (cf: ici), on a tendance à penser que le logiciel est sur et robuste. Jusqu'à la news sur la prochaine version qui corrigera 10 failles dont 2 critiques.

Quoiqu'il en soit, j'espère qu'Oracle la corrigera vite afin d'éviter de plomber l'image de Java.
Avatar de Laurent.B Laurent.B
Rédacteur/Modérateur
le 12/01/2013 10:44
Citation:
Envoyé par olivier.pitton Voir le message
Je ne pense pas que le réel problème vienne de Java, mais simplement de la façon dont on annonce la news, si je puis dire.
La façon dont est annoncée la news traduit simplement le fait, à mon sens, que l'on aimerait bien qu'Oracle prenne ce genre de problème au sérieux et réagisse plus vite que ce qu'ils ne l'ont fait jusqu'à maintenant...

Car même si pour beaucoup je pense, on se passe en général aisément du plug-in Java dans le navigateur (personnellement il est assez rare que j'en ai besoin, ah si pour les impôts tiens), ceux qui en ont besoin plus régulièrement doivent être agacés (si tant est qu'ils connaissent l'existence du problème), d'avoir à l'activer ou le désactiver, selon les sites qu'ils visitent. Et pour ceux qui ignoreraient l'existence du problème c'est encore pire. Donc, oui, je pense qu'il y a matière à être volontairement alarmiste, tu ne crois pas ? Ca ne donne pas forcément une bonne image au produit concerné, c'est sûr, mais si ça peut contribuer à faire bouger les choses rapidement, dans ce genre de cas, je dirais que c'est un moindre mal.
Avatar de amine_dev amine_dev
Invité de passage
le 13/01/2013 9:58
Est ce que le risque existe pour les utilisateur linux aussi?
Avatar de Enerian Enerian
Membre expérimenté
le 13/01/2013 10:28
Citation:
Envoyé par amine_dev Voir le message
Est ce que le risque existe pour les utilisateur linux aussi?
Je ne vois pas pourquoi linux serait épargné. La faille est exploitée par le biais des plugins Java installés sur les navigateurs web. Si tu as ce type de plugin, il est recommandé de le(s) désactiver.

Après, c'est une question d'impact. De par la gestion des droits des systèmes linux, un code malveillant exploitant la faille n'aura pas un rayon d'action illimité. Mais ce n'est pas une raison pour se croire à l'abris. Il reste possible de voler ou détruire certaines données / préférences, voire d'utiliser cette faille pour en exploiter une autre au niveau de l'os.

Donc à mon avis, désactive tes plugins Java, quelque soit l'os que tu utilises.
 Poster une réponse  Retrouvez la suite de la discussion

 
 
Developpez.com

Nous contacter

Participez

Informations légales

 
Services

Forum d'entraide

Blogs

Hébergement

 
Partenaires

Hébergement Web