Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Faille de sécurité critique dans Java 7 Update 6
Pouvant être exploitée pour installer des malwares, sa désactivation recommandée

Le , par Hinault Romaric

22PARTAGES

10  0 
Les experts en sécurité tirent la sonnette d’alarme pour la dernière version de la plateforme Java. Java 7 Update 6 serait sujet à une vulnérabilité activement exploitée.

Les chercheurs en sécurité du cabinet FireEye ont découvert une faille de sécurité dans la plateforme pouvant être exploitée pour infecter des ordinateurs avec des logiciels malveillants. La vulnérabilité aurait été utilisée pour installer à distance le cheval de Troie Poison Ivy, qui a été utilisé dans le passé dans de nombreuses campagnes de cyberespionnage.

Les experts en sécurité ont classé cette vulnérabilité comme extrêmement critique, car elle permet l’exécution de code arbitraire sur les systèmes vulnérables sans l’intervention de l’utilisateur.

Les risques d’attaques par des pirates sont élevés d’autant plus qu’une preuve de faisabilité (PoC) aurait déjà été publiée sur Internet. Le PoC aurait même été utilisé pour créer un autre exploit pour une utilisation avec le Framework de test populaire Metasploit.

L’exploit pour Metasploit a été testé avec succès sur la mise à jour Java 7 Update 6, en utilisant différents navigateurs et systèmes d’exploitation dont Firefox sur Ubuntu 10.04, Internet Explorer, Chrome et Firefox sur Windows XP, Vista et Windows 7, Firefox et Safari sur Mac OS X 10.7.4.

Oracle n’a pas encore publié de commentaire concernant cette faille ou annoncé une date pour la sortie d’un correctif de sécurité. Selon le calendrier de l’éditeur, une mise à jour de la plateforme Java est prévue pour mi-octobre.

Pour l’instant, il est vivement conseillé aux utilisateurs de cette version de Java de désactiver complètement la plateforme, jusqu’à ce qu’un correctif soit disponible.

La vulnérabilité affecte uniquement le JRE (Java Runtime Environment) 1.7 qui contient Java 7 Update 6. Les versions 1.6 et antérieures du JRE ne sont pas concernées.

Source : Secunia, FireEye, Rapid7

Et vous ?

Utilisez-vous Java 7 Update 6 ? Que pensez-vous de cette faille ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Elendhil
Membre averti https://www.developpez.com
Le 29/08/2012 à 15:15
A les fumiers de journalistes ! Ils sont tous donnés le mot, les principaux portails liés aux technologies bombardent avec des titres genre :
"Désinstaller Java est fortement recommandé‎"
"Java : alerte à la faille O day exploitée"
"Les Mac sous la menace d'une dangereuse faille zéro-day dans Java"

Quand il y a une faille dans chrome ou firefox on demande pas aux utilisateurs de désinstallés leur navigateur ou de ne plus l'utiliser...

Avec un pub pareil JavaFx est super bien parti Le taux de pénétration est pas près de s'envoler.

Je ne comprend pas trop cette haine des plugins et l'émerveillement devant le javascript. Ce vieux langage pourris des années 90 que personne voulait utiliser.
Toutes ces années de recherches sur les Langages pour finalement imposer Javascript comme langage universel
12  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 28/08/2012 à 12:00
mi-octobre, y a pas a dire, toujours aussi rapide sur les patchs de sécurité chez oracle

Il serait peut-être utile de préciser que le problème est lié aux applets. Il ne faut pas virer non plus complètement java de sa machine, juste désactiver applets et, je suppose, webstart.
6  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 28/08/2012 à 15:19
en gros avec cette faille, si j'ai bien compris, une applet est aussi sure qu'un activex sous internet explorer
5  0 
Avatar de Dynamès
Membre habitué https://www.developpez.com
Le 28/08/2012 à 13:56
Bon, heureusement je suis encore en java update 5.

Mais si j'avais eu la proposition de maj avant de voir cette information, j'aurais sans doute validé cette maj...

Mi-octobre alors qu'une énorme faille est signalé, faut quand même pas abusé là...
4  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 26/09/2012 à 15:42
Citation Envoyé par Freem Voir le message

Problèmes de jeunesse peut-être (je ne sais pas quand il est sorti?)...
Il y a un an, 2 mois et 19 jours
4  0 
Avatar de Crazyfaboo
Membre actif https://www.developpez.com
Le 28/08/2012 à 14:02
Citation Envoyé par tchize_ Voir le message
mi-octobre, y a pas a dire, toujours aussi rapide sur les patchs de sécurité chez oracle
Microsoft fait normalement une MAJ le Mardi toutes les deux semaines... C'est mieux, certes, mais ils ont également beaucoup plus de choses à mettre à jour...

Citation Envoyé par Dynamès
Mi-octobre alors qu'une énorme faille est signalé, faut quand même pas abusé là...
+
Citation Envoyé par Hinault Romaric
Oracle n’a pas encore publié de commentaire concernant cette faille ou annoncé une date pour la sortie d’un correctif de sécurité.
Ca veut juste dire qu'Oracle n'a pas répondu. Rien ne dit qu'il n'y aura pas un patch d'urgence si cette faille est aussi critique que ce qu'il y parait.
Microsoft a déjà cassé plusieurs fois son calendrier pour publier des patchs critiques. J'espère qu'Oracle le fera aussi. Pour l'instant, on ne sait tout simplement pas. A noter qu'Oracle a déjà fait des Critical Patch update il y a peu de temps...

Citation Envoyé par Dynamès
Bon, heureusement je suis encore en java update 5.
Pas sûr. La faille peut avoir été découverte pour l'update 6 et non testée encore pour l'update 5...
3  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 29/08/2012 à 15:32
Le poids de l'histoire.

En ce qui me concerne, java fx, c'est mort et enterré
3  0 
Avatar de Awakening
Membre régulier https://www.developpez.com
Le 30/08/2012 à 12:25
Citation Envoyé par andry.aime Voir le message
Mais Kevin pense que les nouvelles versions apportent plus de sécurité et de gadget, et plouf
Mais Kévin n'aurait pas forcément tort, il y a des chances qu'une mise à jour répare certaines failles/bug.

Et de toute façon le tort n'est pas censé venir de l'utilisateur lambda qui n'est pas censé savoir que Java (ou Flash) est réputé pour avoir quelques failles.
3  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 26/09/2012 à 16:56
Citation Envoyé par Elendhil Voir le message
Je ne suis pas un expert mais pour moi oui évidement , si tu es sous vista, seven, windows 8 avec l'UAC d'activé le programme ne pourra pas faire beaucoup de mal ...
Mouais, chez l'utilisateur lambda, tu en profite pour déposer un paquet MSI (ça pas besoin de l'UAC) que t'appelle firefox update et qui attends gentillement que tu ferme ton firefox pour ensuite demander les droits à l'UAC.

Et hop, un joli "firefox update veux modifier votre machine".

Combien vont cliquer non?
3  0 
Avatar de JoeChip
Membre éclairé https://www.developpez.com
Le 28/08/2012 à 15:10
Sinon en principe, si on n'exécute pas des trucs suspects, et qu'on ne compte pas uniquement sur la sécurité de la JVM, le risque semble limité non ? Enfin, je veux dire, comme d'hab quoi ...?
2  0