Faille de sécurité critique dans Java 7 activement exploitée
Pouvant être utilisée pour installer des malwares

Les rubriques (actu, forums, tutos) de Développez
Tags
Réseaux sociaux


 Discussion forum

Retrouvez le dossier complet de la rédaction
Sur le même sujet
Le , par Hinault Romaric, Responsable Actualités
Une nouvelle faille de sécurité vient d’être découverte par des chercheurs en sécurité dans la plateforme de développement Java.

Selon l’alerte de sécurité publiée par le groupe US-CERT (cellule américaine de sécurité informatique), la vulnérabilité concerne la dernière mise à jour Java 7 Update 10 et la mise à jour Java 7 Update 9 (versions qui ont été testées pour l’instant).

La faille peut être exploitée par un pirate après la visite d’un site Web compromis pour exécuter du code arbitraire à distance et installer des applications malveillantes sur le poste d’un utilisateur.

Les risques liés à cette faille sont assez élevés, dans la mesure où le code d’exploit a déjà été divulgué publiquement. Le kit de piratage BlackHole intègre une copie du code des instructions permettant d’exploiter la faille.

Pour l’instant, Oracle n’a encore fait aucun commentaire sur cette nouvelle faille. Les experts en sécurité conseillent de désactiver le plug-in Java dans le navigateur tant qu’un correctif n’a pas été publié.

Pour les utilisateurs de Java 7u10, ils pourront dans le panneau de configuration désactiver les applications Java qui s’exécutent dans le navigateur et définir un niveau de sécurité pour les applets non signés, les applications Java Web Start et les solutions embarquées JavaFX qui s’exécutent dans le navigateur.

Source : US-CERT

Et vous ?

Que pensez-vous de cette faille ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de ndalaba ndalaba
http://www.developpez.com
Membre régulier
le 11/01/2013 13:14
Avec tout le temps de nouvelles failles de sécurité je me demande comment oracle pourra confirmer son fameux javaFX qui souffre déjà d'une mauvaise réputation due au ancienne version.
Avatar de CHbox CHbox
http://www.developpez.com
Membre expérimenté
le 11/01/2013 14:13
J'en pense que de toute manière je n'ai pas réactivé mon plugin Java depuis très longtemps et que je vais continuer comme ça...
Avatar de ValCapri ValCapri
http://www.developpez.com
Membre régulier
le 11/01/2013 17:45
Je vais finir par penser qu'Apple avait raison de ne plus installer Java dans OS X par défaut ou désactiver les plugins Java.

Cela commence a faire beaucoup de failles pour le plug-in Java.

J'adore Java mais pas pour des Applets ou JavaFX. Je préfères les JSF, GWT et autres qui génèrent de l'HTML5, JS et CSS.
Avatar de mascoco mascoco
http://www.developpez.com
Invité de passage
le 11/01/2013 19:44
que des soucis de sécurité depuis le rachat de SUN par Oracle
Avatar de Squisqui Squisqui
http://www.developpez.com
Membre Expert
le 11/01/2013 22:08
Citation Envoyé par mascoco  Voir le message
que des soucis de sécurité depuis le rachat de SUN par Oracle

Et encore... habituellement, la faille est suivie jusqu'à SE6 du temps de Sun, donc des failles qui ont peut-être toujours été là.
Avatar de mohamine1989 mohamine1989
http://www.developpez.com
Membre confirmé
le 12/01/2013 1:06
Non mais ça c'est pas une faille, c'est un gouffre
Avatar de olivier.pitton olivier.pitton
http://www.developpez.com
Expert Confirmé
le 12/01/2013 8:26
Je ne pense pas que le réel problème vienne de Java, mais simplement de la façon dont on annonce la news, si je puis dire.

Une news disant : "Faille de sécurité critique", on a tendance à penser que le logiciel derrière n'est pas si vérifié et sur que cela.

Une news disant : "Nouvelle version de Chrome..." avec plein de fonctionnalités / supports et une petite ligne pour "Chrome 24 apporte des correctifs pour 24 failles de sécurité" (cf: ici), on a tendance à penser que le logiciel est sur et robuste. Jusqu'à la news sur la prochaine version qui corrigera 10 failles dont 2 critiques.

Quoiqu'il en soit, j'espère qu'Oracle la corrigera vite afin d'éviter de plomber l'image de Java.
Avatar de Laurent.B Laurent.B
http://www.developpez.com
Rédacteur/Modérateur
le 12/01/2013 10:44
Citation Envoyé par olivier.pitton  Voir le message
Je ne pense pas que le réel problème vienne de Java, mais simplement de la façon dont on annonce la news, si je puis dire.

La façon dont est annoncée la news traduit simplement le fait, à mon sens, que l'on aimerait bien qu'Oracle prenne ce genre de problème au sérieux et réagisse plus vite que ce qu'ils ne l'ont fait jusqu'à maintenant...

Car même si pour beaucoup je pense, on se passe en général aisément du plug-in Java dans le navigateur (personnellement il est assez rare que j'en ai besoin, ah si pour les impôts tiens), ceux qui en ont besoin plus régulièrement doivent être agacés (si tant est qu'ils connaissent l'existence du problème), d'avoir à l'activer ou le désactiver, selon les sites qu'ils visitent. Et pour ceux qui ignoreraient l'existence du problème c'est encore pire. Donc, oui, je pense qu'il y a matière à être volontairement alarmiste, tu ne crois pas ? Ca ne donne pas forcément une bonne image au produit concerné, c'est sûr, mais si ça peut contribuer à faire bouger les choses rapidement, dans ce genre de cas, je dirais que c'est un moindre mal.
Avatar de amine_dev amine_dev
http://www.developpez.com
Invité de passage
le 13/01/2013 9:58
Est ce que le risque existe pour les utilisateur linux aussi?
Avatar de Enerian Enerian
http://www.developpez.com
Membre émérite
le 13/01/2013 10:28
Citation Envoyé par amine_dev  Voir le message
Est ce que le risque existe pour les utilisateur linux aussi?

Je ne vois pas pourquoi linux serait épargné. La faille est exploitée par le biais des plugins Java installés sur les navigateurs web. Si tu as ce type de plugin, il est recommandé de le(s) désactiver.

Après, c'est une question d'impact. De par la gestion des droits des systèmes linux, un code malveillant exploitant la faille n'aura pas un rayon d'action illimité. Mais ce n'est pas une raison pour se croire à l'abris. Il reste possible de voler ou détruire certaines données / préférences, voire d'utiliser cette faille pour en exploiter une autre au niveau de l'os.

Donc à mon avis, désactive tes plugins Java, quelque soit l'os que tu utilises.
Offres d'emploi IT
Alternance administrateur système et réseau h/f
Alternance
Atos Technology Services - Lorraine - Metz (57000)
Parue le 12/08/2014
Analyste développeur expérimenté
CDI
Groupe SCR - Ile de France - Rambouillet (78120)
Parue le 12/08/2014
Chef de projet fonctionnel
Stage
AD4SCREEN - Ile de France - Paris (75002)
Parue le 21/08/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula