IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une faille de Java SE permet d'accéder à distance à Windows, Solaris, Linux, et OS X sans authentification,
Un correctif d'urgence est disponible

Le , par Olivier Famien

114PARTAGES

7  2 
Oracle vient de sortir en urgence un patch afin de corriger une faille présente sur son plug-in Java SE fonctionnant sur les navigateurs. Selon les explications de la firme, « cette vulnérabilité peut être exploitée à distance sans authentification », notamment sur un réseau sans avoir besoin d’utiliser des identifiants tels que le nom d’utilisateur ou le mot de passe de l’utilisateur.

Pour que cette faille soit exploitée avec succès, ajoute l’éditeur, « un utilisateur non averti exécutant une version [de Java SE] dans un navigateur devra visiter une page web infectée qui exploite cette vulnérabilité ». Et si un tel cas de figure se produisait, cette personne exposerait « la disponibilité, l’intégrité et la confidentialité de son système ».

Les versions du plug-in affectées par cette faille sont Java SE 7 Update 97, Java SE 8 Update 73 et Java SE Update 74 pour les systèmes d’exploitation Windows, Solaris, Linux, et Mac OS X.

La faille a été référencée sous le code CVE-2016-0636 et vu sa sévérité, il lui a été assigné le score de 9.3 selon le système d’évaluation des vulnérabilités CVSS (Common Vulnerability Scoring System).

Toutefois, cette faille ne s’adresse pas aux déploiements de Java sur les serveurs ou les applications autonomes pour poste de travail, car ces derniers chargent et exécutent du code de confiance uniquement. Non plus elle n’affecte pas les logiciels basés sur les serveurs d’Oracle.

Oracle recommande d’appliquer urgemment le correctif disponible depuis quelques heures. Par ailleurs, même si un patch est disponible, cet épisode ne ferait que renforcer davantage la réputation de plug-in poreux soutenu par plusieurs. À ce sujet, il est sans doute inutile de rappeler des études conduites dans le domaine de la sécurité et qui placent Java en tête de liste parmi les programmes les plus exposés. Le plug-in Flash étant de moins en moins utilisé, il parait évident que les tiers malveillants n'hésiteront pas à se tourner vers ce dernier.

Aussi, même s’il faut s’attendre à des failles sur le plug-in Java, car la sécurité à cent pour cent n’existant pas, nous osons espérer que la réaction d’Oracle sera toujours prompte afin d’apporter des correctifs pour colmater les brèches détectées sur sa plateforme.

Source : Oracle

Et vous ?

Que pensez-vous de cette faille ? De quoi remettre en cause l’utilisation du plug-in Java ?

Voir aussi

Forum Oracle

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de atha2
Membre éprouvé https://www.developpez.com
Le 25/03/2016 à 10:33
Comme la plupart des technologies utilisées massivement, forcément Java est une cible principale de recherche de faille. Mais non Java SE n'est pas une grosse passoire comme le laisse pensé le titre de l'article. S'il arrive qu'on trouve des failles dans la version Desktop (comme pour toute techno), 99% des failles concernent le plugin web java (dont il est question ici et qui d'ailleurs est deprecated et sera supprimé dans la prochaine version de java). De plus arrêter moi si je me trompe mais aujourd’hui la plupart des navigateurs désactivent Java par défaut non ?
9  5 
Avatar de Julien Bodin
Membre éclairé https://www.developpez.com
Le 30/03/2016 à 14:20
Citation Envoyé par Pierre Louis Chevalier Voir le message
C'est pourtant bien précisé dans l'article qu'il s'agit du plugin, même si c'est utile de le rappeler...
Pas dans le titre. Il y a pas mal de monde qui ne va pas au delà.
2  0 
Avatar de Pierre Louis Chevalier
Expert éminent sénior https://www.developpez.com
Le 28/03/2016 à 4:38
Citation Envoyé par atha2 Voir le message
99% des failles concernent le plugin web java (dont il est question ici et qui d'ailleurs est deprecated et sera supprimé dans la prochaine version de java)
C'est pourtant bien précisé dans l'article qu'il s'agit du plugin, même si c'est utile de le rappeler...
1  0 
Avatar de mnitu
Expert éminent sénior https://www.developpez.com
Le 01/04/2016 à 19:26
Citation Envoyé par SQLpro Voir le message
Il y a hélas longtemps que la sécurité laisse grandement à désirer chez Oracle !
...
Microsoft explique les raisons qui ont fait de son chatbot Tay un fan d'Hitler
0  0 
Avatar de SQLpro
Rédacteur https://www.developpez.com
Le 25/03/2016 à 9:29
Il y a hélas longtemps que la sécurité laisse grandement à désirer chez Oracle !
La liste des vulnérabilités dans le moteur de base de données Oracle est l'une des pires. Même MySQL fait mieux. En sus les bugs sont corrigés très tardivement.
Même soucis dans Java qui est une vraie passoire.

Source NIST.

A +
0  4