Faille de sécurité critique dans Java 7 : Oracle informé depuis avril 2012
Et ne réagit toujours pas

Le , par Hinault Romaric, Responsable .NET
Mise à jour du 30/08/2012

Depuis le début de cette semaine, l’écosystème Java est secoué par une faille de sécurité critique pouvant être exploitée pour installer des logiciels malveillants (lire ci-devant).

La vulnérabilité qui touche la version 1.7.x du JRE (Java Runtime Environment), peut être utilisée pour désactiver le SecurityManager et par conséquent le sandbox de Java pour exécuter du code arbitraire sur les systèmes vulnérables sans l’intervention de l’utilisateur.

Les experts en sécurité ont fait écho de cette faille après des analyses approfondies, révélant les systèmes d’exploitation touchés, les potentiels risques, les preuves de réalisation, etc.

Mais jusqu’ici, malgré tout ce remue-ménage, Oracle fait la sourde oreille et n’a encore publié aucun avis de sécurité ou annoncé une date pour une mise à jour. Ce qui parait le plus surprenant est qu’il semblerait que la société soit au courant de cette faille depuis avril 2012.

Le cabinet polonais Security Explorations avait publié un avertissement depuis le 2 avril 2012 et aurait informé Oracle, qui ne prendra même pas la peine de référencer le problème dans son bulletin d’alerte de sécurité.

Jusqu’ici, la page qui traite des questions de sécurité de la firme annonce la prochaine mise à jour de Java SE pour le 16 octobre 2012. Plus qu’à espérer que d’ici là, un correctif d’urgence soit publié.

Pour l’instant, les utilisateurs n’ont que comme alternative la désactivation du plug-in Java dans leur navigateur. Pour rappel, la faille touche Firefox sur Ubuntu 10.04, Internet Explorer, Chrome et Firefox sur Windows XP, Vista et Windows 7, Firefox et Safari sur Mac OS X 10.7.4.

Source : Avertissement de Security Explorations, Alerte d'Oracle sur la faille

Et vous ?

Que pensez-vous de l’attitude d'Oracle ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Gugelhupf Gugelhupf - Modérateur https://www.developpez.com
le 30/08/2012 à 14:28
Des fois je suis surpris de lire des articles comme celui-ci, je me dis que nous sommes peut-être quelques milliers d'informaticiens à lire ces infos et qu'il doit y avoir des centaines de milliers d'autres personnes qui n'en seront jamais au courant et qui seront peut-être affectés.

Je ne comprend pas trop cette haine des plugins et l'émerveillement devant le javascript. Ce vieux langage pourris des années 90 que personne voulait utiliser.
Toutes ces années de recherches sur les Langages pour finalement imposer Javascript comme langage universel
Pour moi JavaScript n'est pas un langage très au point, mais je pense que les gens préfèrent rester avec cela et utiliser des frameworks cache-misère (qui avouons le sont très pratiques pour développer) que d'apprendre un énième nouveau langage.
Avatar de Crazyfaboo Crazyfaboo - Membre actif https://www.developpez.com
le 30/08/2012 à 14:35
Si Oracle est au courant depuis Avril, ça veut dire que ça concernait aussi Java 7 update 3, 4 et 5...
Avatar de thelvin thelvin - Modérateur https://www.developpez.com
le 30/08/2012 à 14:47
Citation Envoyé par Gugelhupf Voir le message
Des fois je suis surpris de lire des articles comme celui-ci, je me dis que nous sommes peut-être quelques milliers d'informaticiens à lire ces infos et qu'il doit y avoir des centaines de milliers d'autres personnes qui n'en seront jamais au courant et qui seront peut-être affectés.
C'est pour ça que Firefox se permet de désactiver des plugins de temps en temps, en demandant à peine l'avis de la personne mal informée. On peut en dire ce qu'on veut en terme de comportement politique, en attendant c'est une sécurité accessible à tout le monde.

Citation Envoyé par Gugelhupf Voir le message
Pour moi JavaScript n'est pas un langage très au point, mais je pense que les gens préfèrent rester avec cela et utiliser des frameworks cache-misère (qui avouons le sont très pratiques pour développer) que d'apprendre un énième nouveau langage.
Spas un nouveau langage à apprendre, s't'un nouveau langage à adapter, sécuriser, accélérer, intégrer, déployer. Pas la même chose.
Avatar de Freem Freem - Membre émérite https://www.developpez.com
le 30/08/2012 à 16:24
Et sinon... je sais que java a tendance à être installé par défaut sur nombre de machines, mais... vous en avez beaucoup vous, en tant qu'utilisateurs, des applications java? Ou vous en voyez beaucoup des applets java sur le net?

Quand j'y pense vraiment, je me dis qu'aucune machine parmi celles que j'utilise actuellement n'utilise java... Alors à part les terminaux mobiles d'android, qu'est-ce qui est réellement affecté?

Quand on dit "faut pas désinstaller java pour si peu" ok, mais... désinstaller les logiciels dont on ne se sert pas est aussi un élément de sécurité. Et je me demande vraiment si JAVA sert tant que ça... p'tet en entreprise avec les logiciels internes?

En tout cas, chapeau oracle pour la réactivité... plus de 4 mois sans corriger une faille d'une telle criticité, c'est impressionnant.
Avatar de JoeChip JoeChip - Membre éclairé https://www.developpez.com
le 30/08/2012 à 16:42
Entendu parler de Minecraft...?
Avatar de zyhou zyhou - Membre régulier https://www.developpez.com
le 30/08/2012 à 17:00
jdownloader pour ma part.
Avatar de ghuysmans99 ghuysmans99 - Membre du Club https://www.developpez.com
le 30/08/2012 à 17:11
@Freem : OpenSign, des applis gouvernementales belges comme Tax-On-Web...
Avatar de guidav guidav - Membre éprouvé https://www.developpez.com
le 30/08/2012 à 17:54
Citation Envoyé par Freem Voir le message
Et sinon... je sais que java a tendance à être installé par défaut sur nombre de machines, mais... vous en avez beaucoup vous, en tant qu'utilisateurs, des applications java? Ou vous en voyez beaucoup des applets java sur le net?
La déclaration d'impôts en France, non ?

Sinon, il y a pas mal d'applis internes qui sont développées en java.
Avatar de dragon-noir dragon-noir - Membre à l'essai https://www.developpez.com
le 30/08/2012 à 19:47
bonsoir ,
java7 update 7

dispo sur http://java.com/fr/download/manual.jsp

ne sait pas s'il elle comble la faille de sécurité silence radio pour l'instant

http://www.oracle.com/technetwork/ja...ads/index.html

Mise à jour Java SE 7 7 Paru
Cette mise à jour corrige des vulnérabilités de sécurité récentes. Oracle recommande vivement à tous les utilisateurs de Java SE 7 jour vers cette version.
http://www.oracle.com/technetwork/ja...iew/index.html
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 30/08/2012 à 21:08
Citation Envoyé par tchize_ Voir le message
ouais mais du coup ça fait deux sandbox à contourner et contourner la sandbox IE à partir du java....
A partir du moment ou tu as désactivé la sandbox Java, tu peux faire appel à du code natif.

Citation Envoyé par Freem Voir le message
Alors à part les terminaux mobiles d'android, qu'est-ce qui est réellement affecté?
Android se base sur sa propre VM (un dérivé de Harmony), il n'est donc pas affecté.

Citation Envoyé par Freem Voir le message
Quand on dit "faut pas désinstaller java pour si peu" ok, mais... désinstaller les logiciels dont on ne se sert pas est aussi un élément de sécurité. Et je me demande vraiment si JAVA sert tant que ça... p'tet en entreprise avec les logiciels internes?
Il est vrai que Java est très peu utilisé pour les applets.
Mais il reste encore utilisé pour les applications. Pour ne citer que celles de j'utilise régulièrement : Azureus, Minecraft, Eclipse, JEdit... Dans le cadre des applications locales, ce genre de faille est généralement sans conséquence.

Donc dire désinstaller Java est clairement abusé. Par contre désactiver le plugin du navigateur est une bonne idée si on n'en a pas usage, et même indispensable en ce moment.
Contacter le responsable de la rubrique Accueil