Mise à jour du 20 octobre 2011 par Idelways
Mozilla ne compte plus désactiver le plug-in Java de Firefox, et recommande à ses utilisateurs d'installer la mise à jour corrective que vient de sortir Oracle.
En septembre dernier et faute d'un autre moyen de contrecarrer une faille critique, la fondation avait brandi la menace de bannir temporairement le plug-in en question, devant le mutisme d'Oracle (lire ci-devant).
Une faille préalablement connue de Java était en effet un maillon indispensable de la chaîne d'exploit « BEAST ». Dévoilée par deux chercheurs, la vulnérabilité servait à déchiffrer discrètement les données transitant via les anciennes versions des protocoles SSL et TLS.
La désactivation comme dernier recours (Firefox ne supportant pas encore les versions plus récentes des protocoles) aurait causé de sérieux préjudices aux utilisateurs et à la réputation de Firefox. Notamment en entreprise où Java est massivement utilisé pour les VPN (réseaux privés), applications intranet, visioconférences, etc.
La mise à jour d'Oracle ne concerne pas exclusivement son plug-in pour Firefox, mais s'étend à différentes versions du JDK de Java, de son environnement d'exécution JRE et de sa machine virtuelle JRockit.
Malgré la criticité de l'attaque et les implications qu'aurait eues la désactivation du plug-in, Oracle ne lui attribue qu’une note de 4.3 points sur une échelle de 10.
Le correctif de BEAST s'inscrit dans le cadre d'une mise à jour de sécurité groupée qui corrige une vingtaine d'autres failles.
Les dernières versions de Java sont disponible sur Java.com
Source : bulletin de sécurité d'Oracle, billet de blog de Mozilla
Faille SSL/TLS : Mozilla envisage de désactiver le plug-in Java sur Firefox
Pour prévenir le contournement de politique de la même origine
Dans la foulée de la crise que soulève la faille critique des protocoles SSL et TLS récemment démontrée, la fondation Mozilla patauge encore et peine à trouver une issue de secours rapide pour son navigateur.
Firefox ne supporte pas encore les versions plus récentes et non vulnérables du protocole pour les imposer (TLS 1.1 et 1.2). C'est pourquoi la fondation pointe du doigt le plug-in Java sur lequel elle envisage de tirer une croix.
La présence du plug-in d'Oracle est effectivement un maillon indispensable pour le PoC BEAST. Cette chaîne d'exploit que deux chercheurs ont mis au point pour démontrer la faisabilité de leur attaque par récupération de texte clair.
La vulnérabilité, qui affecte le mode d'opération d'enchaînement des blocs, ne peut être exploitée sans le contournement de la politique de la même origine (Same Origin Policy [SOP]), censée empêcher les communications avec d'autres serveurs.
Et c'est précisément ce qu'une faille auparavant connue de Java facilite.
Les développeurs de Mozilla estiment que c'est à Oracle de combler cette faille en premier, mais devant le silence de ce dernier, ils envisagent de désactiver temporairement son plug-in.
« De ce que j'ai compris, Oracle pourrait être ou non conscient des détails de cet exploit du Same Origin. Jusqu'à maintenant, nous n'avons aucune estimation du temps nécessaire pour avoir un correctif du plug-in Java », explique Brian Smith, l'instigateur de cette proposition.
Si l'on arrive là, nombreux sont les sites et services qui en seront affectés, la nouvelle fonctionnalité de chat vidéo de Facebook n’en est qu’un exemple.
La solution de Mozilla est, vu les circonstances, plus critique que celles de ses concurrents.
Google a choisi d’implémenter une technique sophistiquée pour brouiller le texte à chiffrer en y injectant des paquets vides. Actuellement en test sur la version instable de Chrome, cette solution semble ne poser problème qu'avec très peu de sites. Elle pourrait donc être intégrée à la prochaine version 15 du navigateur.
Microsoft recommande d'activer TLS 1.1 et TLS 1.2, supportés par Internet Explorer, mais désactivés jusque-là par défaut. Pour communiquer avec les serveurs qui ne supportent que les anciennes versions, Redmond préconise de mettre en priorité l'algorithme de chiffrement RC4, insensible aux attaques par récupération de texte clair.
Source : Bugzilla
Et vous ?
Que pensez-vous de la possibilité de désactiver le plug-in Java sur Facebook ?
Quelle autre solution proposeriez-vous à Mozilla ?
Faille SSL/TLS : Mozilla pourrait désactiver le plug-in Java sur Firefox
Pour prévenir le contournement de politique de la même origine
Faille SSL/TLS : Mozilla pourrait désactiver le plug-in Java sur Firefox
Pour prévenir le contournement de politique de la même origine
Le , par Idelways
Une erreur dans cette actualité ? Signalez-nous-la !