Oracle sort un correctif de Java pour contrer l'attaque BEAST
Des protocoles SSL/TLS, Mozilla renonce à désactiver le plug-in de Firefox
Le 2011-09-29 17:09:50, par Idelways, Expert éminent sénior
Mise à jour du 20 octobre 2011 par Idelways
Mozilla ne compte plus désactiver le plug-in Java de Firefox, et recommande à ses utilisateurs d'installer la mise à jour corrective que vient de sortir Oracle.
En septembre dernier et faute d'un autre moyen de contrecarrer une faille critique, la fondation avait brandi la menace de bannir temporairement le plug-in en question, devant le mutisme d'Oracle (lire ci-devant).
Une faille préalablement connue de Java était en effet un maillon indispensable de la chaîne d'exploit « BEAST ». Dévoilée par deux chercheurs, la vulnérabilité servait à déchiffrer discrètement les données transitant via les anciennes versions des protocoles SSL et TLS.
La désactivation comme dernier recours (Firefox ne supportant pas encore les versions plus récentes des protocoles) aurait causé de sérieux préjudices aux utilisateurs et à la réputation de Firefox. Notamment en entreprise où Java est massivement utilisé pour les VPN (réseaux privés), applications intranet, visioconférences, etc.
La mise à jour d'Oracle ne concerne pas exclusivement son plug-in pour Firefox, mais s'étend à différentes versions du JDK de Java, de son environnement d'exécution JRE et de sa machine virtuelle JRockit.
Malgré la criticité de l'attaque et les implications qu'aurait eues la désactivation du plug-in, Oracle ne lui attribue qu’une note de 4.3 points sur une échelle de 10.
Le correctif de BEAST s'inscrit dans le cadre d'une mise à jour de sécurité groupée qui corrige une vingtaine d'autres failles.
Les dernières versions de Java sont disponible sur Java.com
Source : bulletin de sécurité d'Oracle, billet de blog de Mozilla
Faille SSL/TLS : Mozilla envisage de désactiver le plug-in Java sur Firefox
Pour prévenir le contournement de politique de la même origine
Dans la foulée de la crise que soulève la faille critique des protocoles SSL et TLS récemment démontrée, la fondation Mozilla patauge encore et peine à trouver une issue de secours rapide pour son navigateur.
Firefox ne supporte pas encore les versions plus récentes et non vulnérables du protocole pour les imposer (TLS 1.1 et 1.2). C'est pourquoi la fondation pointe du doigt le plug-in Java sur lequel elle envisage de tirer une croix.
La présence du plug-in d'Oracle est effectivement un maillon indispensable pour le PoC BEAST. Cette chaîne d'exploit que deux chercheurs ont mis au point pour démontrer la faisabilité de leur attaque par récupération de texte clair.
La vulnérabilité, qui affecte le mode d'opération d'enchaînement des blocs, ne peut être exploitée sans le contournement de la politique de la même origine (Same Origin Policy [SOP]), censée empêcher les communications avec d'autres serveurs.
Et c'est précisément ce qu'une faille auparavant connue de Java facilite.
Les développeurs de Mozilla estiment que c'est à Oracle de combler cette faille en premier, mais devant le silence de ce dernier, ils envisagent de désactiver temporairement son plug-in.
« De ce que j'ai compris, Oracle pourrait être ou non conscient des détails de cet exploit du Same Origin. Jusqu'à maintenant, nous n'avons aucune estimation du temps nécessaire pour avoir un correctif du plug-in Java », explique Brian Smith, l'instigateur de cette proposition.
Si l'on arrive là, nombreux sont les sites et services qui en seront affectés, la nouvelle fonctionnalité de chat vidéo de Facebook n’en est qu’un exemple.
La solution de Mozilla est, vu les circonstances, plus critique que celles de ses concurrents.
Google a choisi d’implémenter une technique sophistiquée pour brouiller le texte à chiffrer en y injectant des paquets vides. Actuellement en test sur la version instable de Chrome, cette solution semble ne poser problème qu'avec très peu de sites. Elle pourrait donc être intégrée à la prochaine version 15 du navigateur.
Microsoft recommande d'activer TLS 1.1 et TLS 1.2, supportés par Internet Explorer, mais désactivés jusque-là par défaut. Pour communiquer avec les serveurs qui ne supportent que les anciennes versions, Redmond préconise de mettre en priorité l'algorithme de chiffrement RC4, insensible aux attaques par récupération de texte clair.
Source : Bugzilla
Et vous ?
Que pensez-vous de la possibilité de désactiver le plug-in Java sur Facebook ?
Quelle autre solution proposeriez-vous à Mozilla ?
Mozilla ne compte plus désactiver le plug-in Java de Firefox, et recommande à ses utilisateurs d'installer la mise à jour corrective que vient de sortir Oracle.
En septembre dernier et faute d'un autre moyen de contrecarrer une faille critique, la fondation avait brandi la menace de bannir temporairement le plug-in en question, devant le mutisme d'Oracle (lire ci-devant).
Une faille préalablement connue de Java était en effet un maillon indispensable de la chaîne d'exploit « BEAST ». Dévoilée par deux chercheurs, la vulnérabilité servait à déchiffrer discrètement les données transitant via les anciennes versions des protocoles SSL et TLS.
La désactivation comme dernier recours (Firefox ne supportant pas encore les versions plus récentes des protocoles) aurait causé de sérieux préjudices aux utilisateurs et à la réputation de Firefox. Notamment en entreprise où Java est massivement utilisé pour les VPN (réseaux privés), applications intranet, visioconférences, etc.
La mise à jour d'Oracle ne concerne pas exclusivement son plug-in pour Firefox, mais s'étend à différentes versions du JDK de Java, de son environnement d'exécution JRE et de sa machine virtuelle JRockit.
Malgré la criticité de l'attaque et les implications qu'aurait eues la désactivation du plug-in, Oracle ne lui attribue qu’une note de 4.3 points sur une échelle de 10.
Le correctif de BEAST s'inscrit dans le cadre d'une mise à jour de sécurité groupée qui corrige une vingtaine d'autres failles.
Source : bulletin de sécurité d'Oracle, billet de blog de Mozilla
Faille SSL/TLS : Mozilla envisage de désactiver le plug-in Java sur Firefox
Pour prévenir le contournement de politique de la même origine
Dans la foulée de la crise que soulève la faille critique des protocoles SSL et TLS récemment démontrée, la fondation Mozilla patauge encore et peine à trouver une issue de secours rapide pour son navigateur.
Firefox ne supporte pas encore les versions plus récentes et non vulnérables du protocole pour les imposer (TLS 1.1 et 1.2). C'est pourquoi la fondation pointe du doigt le plug-in Java sur lequel elle envisage de tirer une croix.
La présence du plug-in d'Oracle est effectivement un maillon indispensable pour le PoC BEAST. Cette chaîne d'exploit que deux chercheurs ont mis au point pour démontrer la faisabilité de leur attaque par récupération de texte clair.
La vulnérabilité, qui affecte le mode d'opération d'enchaînement des blocs, ne peut être exploitée sans le contournement de la politique de la même origine (Same Origin Policy [SOP]), censée empêcher les communications avec d'autres serveurs.
Et c'est précisément ce qu'une faille auparavant connue de Java facilite.
Les développeurs de Mozilla estiment que c'est à Oracle de combler cette faille en premier, mais devant le silence de ce dernier, ils envisagent de désactiver temporairement son plug-in.
« De ce que j'ai compris, Oracle pourrait être ou non conscient des détails de cet exploit du Same Origin. Jusqu'à maintenant, nous n'avons aucune estimation du temps nécessaire pour avoir un correctif du plug-in Java », explique Brian Smith, l'instigateur de cette proposition.
Si l'on arrive là, nombreux sont les sites et services qui en seront affectés, la nouvelle fonctionnalité de chat vidéo de Facebook n’en est qu’un exemple.
La solution de Mozilla est, vu les circonstances, plus critique que celles de ses concurrents.
Google a choisi d’implémenter une technique sophistiquée pour brouiller le texte à chiffrer en y injectant des paquets vides. Actuellement en test sur la version instable de Chrome, cette solution semble ne poser problème qu'avec très peu de sites. Elle pourrait donc être intégrée à la prochaine version 15 du navigateur.
Microsoft recommande d'activer TLS 1.1 et TLS 1.2, supportés par Internet Explorer, mais désactivés jusque-là par défaut. Pour communiquer avec les serveurs qui ne supportent que les anciennes versions, Redmond préconise de mettre en priorité l'algorithme de chiffrement RC4, insensible aux attaques par récupération de texte clair.
Source : Bugzilla
Et vous ?
-
AuteurExpert éminent séniorle 29/09/2011 à 19:30
-
reducMembre à l'essaiJe me demande si cela a un lien avec ce que j'ai constaté hier. Lors de la mise à jour de Firefox, ce dernier m'a indiqué que mon plug-in java (6.0.27) est maintenant incompatible.le 29/09/2011 à 17:21
-
AuteurExpert éminent séniorJe me suis toujours méfié (peut-être à tort) de www.java.com
Passe plutôt par ce lien :
http://www.oracle.com/technetwork/ja...ads/index.html
Pas besoin d'ouvrir un compte, accepte seulement la licencele 30/09/2011 à 19:10 -
IdelwaysExpert éminent séniorOracle sort un correctif de Java pour contrer l'attaque BEAST
Contre les protocoles SSL/TLS, Mozilla renonce à bannir le plug-in Java de Firefox
Mise à jour du 20 octobre 2011 par Idelways
Mozilla ne compte plus de désactiver le plug-in Java de Firefox, et recommande à ses utilisateurs d'installer la mise à jour corrective que vient de sortir Oracle.
En septembre dernier et faute d'un autre moyen de contrecarrer une faille critique, la fondation avait brandi la menace de bannir temporairement le plug-in en question, devant le mutisme d'Oracle (lire ci-devant)
Une faille préalablement connue de Java était en effet un maillon indispensable de la chaîne d'exploit « BEAST ». Dévoilée par deux chercheurs, la vulnérabilité servait à déchiffrer discrètement les données transitant via les anciennes versions des protocoles SSL et TLS.
La désactivation comme dernier recours (Firefox ne supportant pas encore les versions plus récentes des protocoles) aurait causé de sérieux préjudices aux utilisateurs et à la réputation de Firefox. Notamment en entreprise où Java est massivement utilisé pour les VPN (réseaux privés), applications intranet, visioconférences, etc.
La mise à jour d'Oracle ne concerne pas exclusivement son plug-in pour Firefox, mais s'étend à différentes versions JDK de Java, de son environnement d'exécution JRE et de sa machine virtuelle JRockit.
Malgré la criticité de l'attaque et les implications qu'aurait eues la désactivation du plug-in, Oracle ne lui attribue qu’une note de 4.3 points sur une échelle de 10.
Le correctif de BEAST s'inscrit dans le cadre d'une mise à jour de sécurité groupée qui corrige une 20ène d'autres failles.Les dernières versions de Java sont disponible sur Java.com
Source : bulletin de sécurité d'Oracle, billet de blog de Mozillale 20/10/2011 à 11:11 -
reducMembre à l'essaiHier soir, j'ai tenté de le télécharger, mais le JRE 7 n'est pas disponible au grand public (www.java.com). Je sais que j'aurais pu l'obtenir en suivant les liens pour développeur, mais si j'étais un utilisateur normal je me serais senti un peu confus. Je serais resté coincé avec un JRE 6 déclaré incompatible par Firefox.le 30/09/2011 à 15:22
-
TotonyMembre du ClubQu'on me corrige si je me trompe, mais
À ce que j'ai compris, Mozilla n'ENVISAGE pas (encore) cette possibilité, elle a seulement été PROPOSÉE (et Brian Smith ne semble pas être un membre de Mozilla, si je ne m'abuse).le 29/09/2011 à 22:56