Faille de sécurité critique dans Java 7 Update 6
Pouvant être exploitée pour installer des malwares, sa désactivation recommandée
Le 2012-08-28 11:31:39, par Hinault Romaric, Responsable .NET
Les experts en sécurité tirent la sonnette d’alarme pour la dernière version de la plateforme Java. Java 7 Update 6 serait sujet à une vulnérabilité activement exploitée.
Les chercheurs en sécurité du cabinet FireEye ont découvert une faille de sécurité dans la plateforme pouvant être exploitée pour infecter des ordinateurs avec des logiciels malveillants. La vulnérabilité aurait été utilisée pour installer à distance le cheval de Troie Poison Ivy, qui a été utilisé dans le passé dans de nombreuses campagnes de cyberespionnage.
Les experts en sécurité ont classé cette vulnérabilité comme extrêmement critique, car elle permet l’exécution de code arbitraire sur les systèmes vulnérables sans l’intervention de l’utilisateur.
Les risques d’attaques par des pirates sont élevés d’autant plus qu’une preuve de faisabilité (PoC) aurait déjà été publiée sur Internet. Le PoC aurait même été utilisé pour créer un autre exploit pour une utilisation avec le Framework de test populaire Metasploit.
L’exploit pour Metasploit a été testé avec succès sur la mise à jour Java 7 Update 6, en utilisant différents navigateurs et systèmes d’exploitation dont Firefox sur Ubuntu 10.04, Internet Explorer, Chrome et Firefox sur Windows XP, Vista et Windows 7, Firefox et Safari sur Mac OS X 10.7.4.
Oracle n’a pas encore publié de commentaire concernant cette faille ou annoncé une date pour la sortie d’un correctif de sécurité. Selon le calendrier de l’éditeur, une mise à jour de la plateforme Java est prévue pour mi-octobre.
Pour l’instant, il est vivement conseillé aux utilisateurs de cette version de Java de désactiver complètement la plateforme, jusqu’à ce qu’un correctif soit disponible.
La vulnérabilité affecte uniquement le JRE (Java Runtime Environment) 1.7 qui contient Java 7 Update 6. Les versions 1.6 et antérieures du JRE ne sont pas concernées.
Source : Secunia, FireEye, Rapid7
Et vous ?
Utilisez-vous Java 7 Update 6 ? Que pensez-vous de cette faille ?
Les chercheurs en sécurité du cabinet FireEye ont découvert une faille de sécurité dans la plateforme pouvant être exploitée pour infecter des ordinateurs avec des logiciels malveillants. La vulnérabilité aurait été utilisée pour installer à distance le cheval de Troie Poison Ivy, qui a été utilisé dans le passé dans de nombreuses campagnes de cyberespionnage.
Les experts en sécurité ont classé cette vulnérabilité comme extrêmement critique, car elle permet l’exécution de code arbitraire sur les systèmes vulnérables sans l’intervention de l’utilisateur.
Les risques d’attaques par des pirates sont élevés d’autant plus qu’une preuve de faisabilité (PoC) aurait déjà été publiée sur Internet. Le PoC aurait même été utilisé pour créer un autre exploit pour une utilisation avec le Framework de test populaire Metasploit.
L’exploit pour Metasploit a été testé avec succès sur la mise à jour Java 7 Update 6, en utilisant différents navigateurs et systèmes d’exploitation dont Firefox sur Ubuntu 10.04, Internet Explorer, Chrome et Firefox sur Windows XP, Vista et Windows 7, Firefox et Safari sur Mac OS X 10.7.4.
Oracle n’a pas encore publié de commentaire concernant cette faille ou annoncé une date pour la sortie d’un correctif de sécurité. Selon le calendrier de l’éditeur, une mise à jour de la plateforme Java est prévue pour mi-octobre.
Pour l’instant, il est vivement conseillé aux utilisateurs de cette version de Java de désactiver complètement la plateforme, jusqu’à ce qu’un correctif soit disponible.
La vulnérabilité affecte uniquement le JRE (Java Runtime Environment) 1.7 qui contient Java 7 Update 6. Les versions 1.6 et antérieures du JRE ne sont pas concernées.
Source : Secunia, FireEye, Rapid7
Et vous ?
-
ElendhilMembre avertiA les fumiers de journalistes ! Ils sont tous donnés le mot, les principaux portails liés aux technologies bombardent avec des titres genre :
"Désinstaller Java est fortement recommandé‎"
"Java : alerte à la faille O day exploitée"
"Les Mac sous la menace d'une dangereuse faille zéro-day dans Java"
Quand il y a une faille dans chrome ou firefox on demande pas aux utilisateurs de désinstallés leur navigateur ou de ne plus l'utiliser...
Avec un pub pareil JavaFx est super bien partiLe taux de pénétration est pas près de s'envoler.
Je ne comprend pas trop cette haine des plugins et l'émerveillement devant le javascript. Ce vieux langage pourris des années 90 que personne voulait utiliser.
Toutes ces années de recherches sur les Langages pour finalement imposer Javascript comme langage universelle 29/08/2012 à 15:15 -
tchize_Expert éminent séniormi-octobre, y a pas a dire, toujours aussi rapide sur les patchs de sécurité chez oracle
Il serait peut-être utile de préciser que le problème est lié aux applets. Il ne faut pas virer non plus complètement java de sa machine, juste désactiver applets et, je suppose, webstart.le 28/08/2012 à 12:00 -
tchize_Expert éminent sénioren gros avec cette faille, si j'ai bien compris, une applet est aussi sure qu'un activex sous internet explorerle 28/08/2012 à 15:19
-
DynamèsMembre habituéBon, heureusement je suis encore en java update 5.
Mais si j'avais eu la proposition de maj avant de voir cette information, j'aurais sans doute validé cette maj...
Mi-octobre alors qu'une énorme faille est signalé, faut quand même pas abusé là...le 28/08/2012 à 13:56 -
tchize_Expert éminent séniorle 26/09/2012 à 15:42
-
CrazyfabooMembre actifMicrosoft fait normalement une MAJ le Mardi toutes les deux semaines... C'est mieux, certes, mais ils ont également beaucoup plus de choses à mettre à jour...
Envoyé par Dynamès
Envoyé par Hinault Romaric
Microsoft a déjà cassé plusieurs fois son calendrier pour publier des patchs critiques. J'espère qu'Oracle le fera aussi. Pour l'instant, on ne sait tout simplement pas. A noter qu'Oracle a déjà fait des Critical Patch update il y a peu de temps...Envoyé par Dynamès le 28/08/2012 à 14:02 -
tchize_Expert éminent séniorLe poids de l'histoire.
En ce qui me concerne, java fx, c'est mort et enterréle 29/08/2012 à 15:32 -
AwakeningMembre régulierMais Kévin n'aurait pas forcément tort, il y a des chances qu'une mise à jour répare certaines failles/bug.
Et de toute façon le tort n'est pas censé venir de l'utilisateur lambda qui n'est pas censé savoir que Java (ou Flash) est réputé pour avoir quelques failles.le 30/08/2012 à 12:25 -
tchize_Expert éminent séniorMouais, chez l'utilisateur lambda, tu en profite pour déposer un paquet MSI (ça pas besoin de l'UAC) que t'appelle firefox update et qui attends gentillement que tu ferme ton firefox pour ensuite demander les droits à l'UAC.
Et hop, un joli "firefox update veux modifier votre machine".
Combien vont cliquer non?le 26/09/2012 à 16:56 -
JoeChipMembre éclairéSinon en principe, si on n'exécute pas des trucs suspects, et qu'on ne compte pas uniquement sur la sécurité de la JVM, le risque semble limité non ? Enfin, je veux dire, comme d'hab quoi ...?le 28/08/2012 à 15:10