Developpez.com

Le Club des Développeurs et IT Pro

Faille de sécurité critique dans Java 7 : Oracle informé depuis avril 2012

Et ne réagit toujours pas

Le 2012-08-30 14:18:22, par Hinault Romaric, Responsable .NET
Mise à jour du 30/08/2012

Depuis le début de cette semaine, l’écosystème Java est secoué par une faille de sécurité critique pouvant être exploitée pour installer des logiciels malveillants (lire ci-devant).

La vulnérabilité qui touche la version 1.7.x du JRE (Java Runtime Environment), peut être utilisée pour désactiver le SecurityManager et par conséquent le sandbox de Java pour exécuter du code arbitraire sur les systèmes vulnérables sans l’intervention de l’utilisateur.

Les experts en sécurité ont fait écho de cette faille après des analyses approfondies, révélant les systèmes d’exploitation touchés, les potentiels risques, les preuves de réalisation, etc.

Mais jusqu’ici, malgré tout ce remue-ménage, Oracle fait la sourde oreille et n’a encore publié aucun avis de sécurité ou annoncé une date pour une mise à jour. Ce qui parait le plus surprenant est qu’il semblerait que la société soit au courant de cette faille depuis avril 2012.

Le cabinet polonais Security Explorations avait publié un avertissement depuis le 2 avril 2012 et aurait informé Oracle, qui ne prendra même pas la peine de référencer le problème dans son bulletin d’alerte de sécurité.

Jusqu’ici, la page qui traite des questions de sécurité de la firme annonce la prochaine mise à jour de Java SE pour le 16 octobre 2012. Plus qu’à espérer que d’ici là, un correctif d’urgence soit publié.

Pour l’instant, les utilisateurs n’ont que comme alternative la désactivation du plug-in Java dans leur navigateur. Pour rappel, la faille touche Firefox sur Ubuntu 10.04, Internet Explorer, Chrome et Firefox sur Windows XP, Vista et Windows 7, Firefox et Safari sur Mac OS X 10.7.4.

Source : Avertissement de Security Explorations, Alerte d'Oracle sur la faille

Et vous ?

Que pensez-vous de l’attitude d'Oracle ?
  Discussion forum
89 commentaires
  • tchize_
    Expert éminent sénior
    Envoyé par Freem

    Problèmes de jeunesse peut-être (je ne sais pas quand il est sorti?)...
    Il y a un an, 2 mois et 19 jours
    le 26/09/2012 à 15:42
  • tchize_
    Expert éminent sénior
    Envoyé par Elendhil
    Je ne suis pas un expert mais pour moi oui évidement , si tu es sous vista, seven, windows 8 avec l'UAC d'activé le programme ne pourra pas faire beaucoup de mal ...
    Mouais, chez l'utilisateur lambda, tu en profite pour déposer un paquet MSI (ça pas besoin de l'UAC) que t'appelle firefox update et qui attends gentillement que tu ferme ton firefox pour ensuite demander les droits à l'UAC.

    Et hop, un joli "firefox update veux modifier votre machine".

    Combien vont cliquer non?
    le 26/09/2012 à 16:56
  • thelvin
    Modérateur
    Envoyé par Gugelhupf
    Des fois je suis surpris de lire des articles comme celui-ci, je me dis que nous sommes peut-être quelques milliers d'informaticiens à lire ces infos et qu'il doit y avoir des centaines de milliers d'autres personnes qui n'en seront jamais au courant et qui seront peut-être affectés.
    C'est pour ça que Firefox se permet de désactiver des plugins de temps en temps, en demandant à peine l'avis de la personne mal informée. On peut en dire ce qu'on veut en terme de comportement politique, en attendant c'est une sécurité accessible à tout le monde.

    Envoyé par Gugelhupf
    Pour moi JavaScript n'est pas un langage très au point, mais je pense que les gens préfèrent rester avec cela et utiliser des frameworks cache-misère (qui avouons le sont très pratiques pour développer) que d'apprendre un énième nouveau langage.
    Spas un nouveau langage à apprendre, s't'un nouveau langage à adapter, sécuriser, accélérer, intégrer, déployer. Pas la même chose.
    le 30/08/2012 à 14:47
  • dragon-noir
    Membre à l'essai
    bonsoir ,
    java7 update 7

    dispo sur http://java.com/fr/download/manual.jsp

    ne sait pas s'il elle comble la faille de sécurité silence radio pour l'instant

    http://www.oracle.com/technetwork/ja...ads/index.html

    Mise à jour Java SE 7 7 Paru
    Cette mise à jour corrige des vulnérabilités de sécurité récentes. Oracle recommande vivement à tous les utilisateurs de Java SE 7 jour vers cette version.
    http://www.oracle.com/technetwork/ja...iew/index.html
    le 30/08/2012 à 19:47
  • Crazyfaboo
    Membre actif
    Oracle n'a cependant pas communiqué sur la faille de sécurité en question. Il serait très surprenant que cette mise à jour hors planning et post-"scandale" ne corrige pas la faille. Cela dit, quelques tests s'avèrent tout de même nécessaire. D'autant plus qu'ils ont peut-être créé d'autres failles en la corrigeant (sûrement à la va-vite)...
    Bien qu'Oracle ait publié une MAJ, mais pas bien qu'ils ne communiquent pas sur la faille en particulier.
    le 31/08/2012 à 11:34
  • Uther
    Expert éminent sénior
    Et pas que sur internet.
    C'est bien connu que le système le plus sur jamais réalisé c'est : http://www.bernardbelanger.com/compu...NaDa/index.php
    le 03/09/2012 à 19:41
  • Freem
    Membre émérite
    Envoyé par Philippe Bastiani
    et, pourtant, la presse du moment ne conseille pas de désactiver leur player ! Vas savoir pourquoi !
    Peut-être parce qu'il y a vachement plus de sites qui utilisent flash?
    Genre, par exemple, les sites des streaming. Les sites de jeux, aussi.

    D'ailleurs, le jour où ce sera possible de se passer de flash, rassures-toi, je pense que nombreux seront ceux qui le feront... notamment sous linux ou ce truc à une stabilité douteuse.
    le 04/09/2012 à 9:55
  • tchize_
    Expert éminent sénior
    Envoyé par JoeChip
    Nan mais bon, si une seule faille dans un seul sous-sytème met en cause la sécurité de tout votre système, c'est qu'il n'est tout simplement pas sécurisé, quoi. Un peu comme un bateau qui coulerait dès qu'il pleut...
    Tu veux dire comme un bateau qui coulerais dès qu'il y aurait un trou dans le sous-système "coque immergée" ?

    Mauvaise nouvelle, c'est ce que font la plupart des petits bateaux
    le 05/09/2012 à 10:10
  • tchize_
    Expert éminent sénior
    Envoyé par devyan
    Quoi nous ne sommes pas des DIEUX infaillibles ?!?
    Non, mais l'important, c'est que nos boss le croient
    le 11/10/2012 à 15:50
  • Gugelhupf
    Modérateur
    Des fois je suis surpris de lire des articles comme celui-ci, je me dis que nous sommes peut-être quelques milliers d'informaticiens à lire ces infos et qu'il doit y avoir des centaines de milliers d'autres personnes qui n'en seront jamais au courant et qui seront peut-être affectés.

    Je ne comprend pas trop cette haine des plugins et l'émerveillement devant le javascript. Ce vieux langage pourris des années 90 que personne voulait utiliser.
    Toutes ces années de recherches sur les Langages pour finalement imposer Javascript comme langage universel
    Pour moi JavaScript n'est pas un langage très au point, mais je pense que les gens préfèrent rester avec cela et utiliser des frameworks cache-misère (qui avouons le sont très pratiques pour développer) que d'apprendre un énième nouveau langage.
    le 30/08/2012 à 14:28
  Poster une réponse