Faille SSL/TLS : Mozilla pourrait désactiver le plug-in Java sur Firefox
Pour prévenir le contournement de politique de la même origine

Le , par Idelways, Expert éminent sénior
Mise à jour du 20 octobre 2011 par Idelways

Mozilla ne compte plus désactiver le plug-in Java de Firefox, et recommande à ses utilisateurs d'installer la mise à jour corrective que vient de sortir Oracle.

En septembre dernier et faute d'un autre moyen de contrecarrer une faille critique, la fondation avait brandi la menace de bannir temporairement le plug-in en question, devant le mutisme d'Oracle (lire ci-devant).

Une faille préalablement connue de Java était en effet un maillon indispensable de la chaîne d'exploit « BEAST ». Dévoilée par deux chercheurs, la vulnérabilité servait à déchiffrer discrètement les données transitant via les anciennes versions des protocoles SSL et TLS.

La désactivation comme dernier recours (Firefox ne supportant pas encore les versions plus récentes des protocoles) aurait causé de sérieux préjudices aux utilisateurs et à la réputation de Firefox. Notamment en entreprise où Java est massivement utilisé pour les VPN (réseaux privés), applications intranet, visioconférences, etc.

La mise à jour d'Oracle ne concerne pas exclusivement son plug-in pour Firefox, mais s'étend à différentes versions du JDK de Java, de son environnement d'exécution JRE et de sa machine virtuelle JRockit.

Malgré la criticité de l'attaque et les implications qu'aurait eues la désactivation du plug-in, Oracle ne lui attribue qu’une note de 4.3 points sur une échelle de 10.

Le correctif de BEAST s'inscrit dans le cadre d'une mise à jour de sécurité groupée qui corrige une vingtaine d'autres failles.

Les dernières versions de Java sont disponible sur Java.com

Source : bulletin de sécurité d'Oracle, billet de blog de Mozilla

Faille SSL/TLS : Mozilla envisage de désactiver le plug-in Java sur Firefox
Pour prévenir le contournement de politique de la même origine

Dans la foulée de la crise que soulève la faille critique des protocoles SSL et TLS récemment démontrée, la fondation Mozilla patauge encore et peine à trouver une issue de secours rapide pour son navigateur.

Firefox ne supporte pas encore les versions plus récentes et non vulnérables du protocole pour les imposer (TLS 1.1 et 1.2). C'est pourquoi la fondation pointe du doigt le plug-in Java sur lequel elle envisage de tirer une croix.

La présence du plug-in d'Oracle est effectivement un maillon indispensable pour le PoC BEAST. Cette chaîne d'exploit que deux chercheurs ont mis au point pour démontrer la faisabilité de leur attaque par récupération de texte clair.

La vulnérabilité, qui affecte le mode d'opération d'enchaînement des blocs, ne peut être exploitée sans le contournement de la politique de la même origine (Same Origin Policy [SOP]), censée empêcher les communications avec d'autres serveurs.

Et c'est précisément ce qu'une faille auparavant connue de Java facilite.

Les développeurs de Mozilla estiment que c'est à Oracle de combler cette faille en premier, mais devant le silence de ce dernier, ils envisagent de désactiver temporairement son plug-in.

« De ce que j'ai compris, Oracle pourrait être ou non conscient des détails de cet exploit du Same Origin. Jusqu'à maintenant, nous n'avons aucune estimation du temps nécessaire pour avoir un correctif du plug-in Java », explique Brian Smith, l'instigateur de cette proposition.

Si l'on arrive là, nombreux sont les sites et services qui en seront affectés, la nouvelle fonctionnalité de chat vidéo de Facebook n’en est qu’un exemple.

La solution de Mozilla est, vu les circonstances, plus critique que celles de ses concurrents.

Google a choisi d’implémenter une technique sophistiquée pour brouiller le texte à chiffrer en y injectant des paquets vides. Actuellement en test sur la version instable de Chrome, cette solution semble ne poser problème qu'avec très peu de sites. Elle pourrait donc être intégrée à la prochaine version 15 du navigateur.

Microsoft recommande d'activer TLS 1.1 et TLS 1.2, supportés par Internet Explorer, mais désactivés jusque-là par défaut. Pour communiquer avec les serveurs qui ne supportent que les anciennes versions, Redmond préconise de mettre en priorité l'algorithme de chiffrement RC4, insensible aux attaques par récupération de texte clair.

Source : Bugzilla

Et vous ?

Que pensez-vous de la possibilité de désactiver le plug-in Java sur Facebook ?
Quelle autre solution proposeriez-vous à Mozilla ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de reduc reduc - Membre à l'essai https://www.developpez.com
le 29/09/2011 à 17:21
Je me demande si cela a un lien avec ce que j'ai constaté hier. Lors de la mise à jour de Firefox, ce dernier m'a indiqué que mon plug-in java (6.0.27) est maintenant incompatible.
Avatar de Auteur Auteur - Expert éminent https://www.developpez.com
le 29/09/2011 à 19:30
Citation Envoyé par reduc  Voir le message
Je me demande si cela a un lien avec ce que j'ai constaté hier. Lors de la mise à jour de Firefox, ce dernier m'a indiqué que mon plug-in java (6.0.27) est maintenant incompatible.

bonjour,

passe à la version 7 de java elle est compatible avec FF.
Avatar de Totony Totony - Membre du Club https://www.developpez.com
le 29/09/2011 à 22:56
Citation Envoyé par Idelways  Voir le message
Faille SSL/TLS : Mozilla envisage de désactiver le plug-in Java sur Firefox
[...]
« De ce que j'ai compris, Oracle pourrait être ou non conscient des détails de cet exploit du Same Origin. Jusqu'à maintenant, nous n'avons aucune estimation du temps nécessaire pour avoir un correctif du plug-in Java », explique Brian Smith, l'instigateur de cette proposition.

Qu'on me corrige si je me trompe, mais

À ce que j'ai compris, Mozilla n'ENVISAGE pas (encore) cette possibilité, elle a seulement été PROPOSÉE (et Brian Smith ne semble pas être un membre de Mozilla, si je ne m'abuse).
Avatar de reduc reduc - Membre à l'essai https://www.developpez.com
le 30/09/2011 à 15:22
Citation Envoyé par Auteur  Voir le message
bonjour,

passe à la version 7 de java elle est compatible avec FF.

Hier soir, j'ai tenté de le télécharger, mais le JRE 7 n'est pas disponible au grand public (www.java.com). Je sais que j'aurais pu l'obtenir en suivant les liens pour développeur, mais si j'étais un utilisateur normal je me serais senti un peu confus. Je serais resté coincé avec un JRE 6 déclaré incompatible par Firefox.
Avatar de Auteur Auteur - Expert éminent https://www.developpez.com
le 30/09/2011 à 19:10
Citation Envoyé par reduc  Voir le message
Hier soir, j'ai tenté de le télécharger, mais le JRE 7 n'est pas disponible au grand public (www.java.com). Je sais que j'aurais pu l'obtenir en suivant les liens pour développeur, mais si j'étais un utilisateur normal je me serais senti un peu confus. Je serais resté coincé avec un JRE 6 déclaré incompatible par Firefox.

Je me suis toujours méfié (peut-être à tort) de www.java.com

Passe plutôt par ce lien :
http://www.oracle.com/technetwork/ja...ads/index.html
Pas besoin d'ouvrir un compte, accepte seulement la licence
Avatar de Idelways Idelways - Expert éminent sénior https://www.developpez.com
le 20/10/2011 à 11:11
Oracle sort un correctif de Java pour contrer l'attaque BEAST
Contre les protocoles SSL/TLS, Mozilla renonce à bannir le plug-in Java de Firefox

Mise à jour du 20 octobre 2011 par Idelways

Mozilla ne compte plus de désactiver le plug-in Java de Firefox, et recommande à ses utilisateurs d'installer la mise à jour corrective que vient de sortir Oracle.

En septembre dernier et faute d'un autre moyen de contrecarrer une faille critique, la fondation avait brandi la menace de bannir temporairement le plug-in en question, devant le mutisme d'Oracle (lire ci-devant)

Une faille préalablement connue de Java était en effet un maillon indispensable de la chaîne d'exploit « BEAST ». Dévoilée par deux chercheurs, la vulnérabilité servait à déchiffrer discrètement les données transitant via les anciennes versions des protocoles SSL et TLS.

La désactivation comme dernier recours (Firefox ne supportant pas encore les versions plus récentes des protocoles) aurait causé de sérieux préjudices aux utilisateurs et à la réputation de Firefox. Notamment en entreprise où Java est massivement utilisé pour les VPN (réseaux privés), applications intranet, visioconférences, etc.

La mise à jour d'Oracle ne concerne pas exclusivement son plug-in pour Firefox, mais s'étend à différentes versions JDK de Java, de son environnement d'exécution JRE et de sa machine virtuelle JRockit.

Malgré la criticité de l'attaque et les implications qu'aurait eues la désactivation du plug-in, Oracle ne lui attribue qu’une note de 4.3 points sur une échelle de 10.

Le correctif de BEAST s'inscrit dans le cadre d'une mise à jour de sécurité groupée qui corrige une 20ène d'autres failles.

Les dernières versions de Java sont disponible sur Java.com

Source : bulletin de sécurité d'Oracle, billet de blog de Mozilla
Offres d'emploi IT
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil