Faille de sécurité critique dans Java 7 : Oracle informé depuis avril 2012
Et ne réagit toujours pas
Le 2012-08-30 14:18:22, par Hinault Romaric, Responsable .NET
Mise à jour du 30/08/2012
Depuis le début de cette semaine, l’écosystème Java est secoué par une faille de sécurité critique pouvant être exploitée pour installer des logiciels malveillants (lire ci-devant).
La vulnérabilité qui touche la version 1.7.x du JRE (Java Runtime Environment), peut être utilisée pour désactiver le SecurityManager et par conséquent le sandbox de Java pour exécuter du code arbitraire sur les systèmes vulnérables sans l’intervention de l’utilisateur.
Les experts en sécurité ont fait écho de cette faille après des analyses approfondies, révélant les systèmes d’exploitation touchés, les potentiels risques, les preuves de réalisation, etc.
Mais jusqu’ici, malgré tout ce remue-ménage, Oracle fait la sourde oreille et n’a encore publié aucun avis de sécurité ou annoncé une date pour une mise à jour. Ce qui parait le plus surprenant est qu’il semblerait que la société soit au courant de cette faille depuis avril 2012.
Le cabinet polonais Security Explorations avait publié un avertissement depuis le 2 avril 2012 et aurait informé Oracle, qui ne prendra même pas la peine de référencer le problème dans son bulletin d’alerte de sécurité.
Jusqu’ici, la page qui traite des questions de sécurité de la firme annonce la prochaine mise à jour de Java SE pour le 16 octobre 2012. Plus qu’à espérer que d’ici là, un correctif d’urgence soit publié.
Pour l’instant, les utilisateurs n’ont que comme alternative la désactivation du plug-in Java dans leur navigateur. Pour rappel, la faille touche Firefox sur Ubuntu 10.04, Internet Explorer, Chrome et Firefox sur Windows XP, Vista et Windows 7, Firefox et Safari sur Mac OS X 10.7.4.
Source : Avertissement de Security Explorations, Alerte d'Oracle sur la faille
Et vous ?
Que pensez-vous de l’attitude d'Oracle ?
Depuis le début de cette semaine, l’écosystème Java est secoué par une faille de sécurité critique pouvant être exploitée pour installer des logiciels malveillants (lire ci-devant).
La vulnérabilité qui touche la version 1.7.x du JRE (Java Runtime Environment), peut être utilisée pour désactiver le SecurityManager et par conséquent le sandbox de Java pour exécuter du code arbitraire sur les systèmes vulnérables sans l’intervention de l’utilisateur.
Les experts en sécurité ont fait écho de cette faille après des analyses approfondies, révélant les systèmes d’exploitation touchés, les potentiels risques, les preuves de réalisation, etc.
Mais jusqu’ici, malgré tout ce remue-ménage, Oracle fait la sourde oreille et n’a encore publié aucun avis de sécurité ou annoncé une date pour une mise à jour. Ce qui parait le plus surprenant est qu’il semblerait que la société soit au courant de cette faille depuis avril 2012.
Le cabinet polonais Security Explorations avait publié un avertissement depuis le 2 avril 2012 et aurait informé Oracle, qui ne prendra même pas la peine de référencer le problème dans son bulletin d’alerte de sécurité.
Jusqu’ici, la page qui traite des questions de sécurité de la firme annonce la prochaine mise à jour de Java SE pour le 16 octobre 2012. Plus qu’à espérer que d’ici là, un correctif d’urgence soit publié.
Pour l’instant, les utilisateurs n’ont que comme alternative la désactivation du plug-in Java dans leur navigateur. Pour rappel, la faille touche Firefox sur Ubuntu 10.04, Internet Explorer, Chrome et Firefox sur Windows XP, Vista et Windows 7, Firefox et Safari sur Mac OS X 10.7.4.
Source : Avertissement de Security Explorations, Alerte d'Oracle sur la faille
Et vous ?
-
tchize_Expert éminent séniorle 26/09/2012 à 15:42
-
tchize_Expert éminent séniorMouais, chez l'utilisateur lambda, tu en profite pour déposer un paquet MSI (ça pas besoin de l'UAC) que t'appelle firefox update et qui attends gentillement que tu ferme ton firefox pour ensuite demander les droits à l'UAC.
Et hop, un joli "firefox update veux modifier votre machine".
Combien vont cliquer non?le 26/09/2012 à 16:56 -
thelvinModérateurC'est pour ça que Firefox se permet de désactiver des plugins de temps en temps, en demandant à peine l'avis de la personne mal informée. On peut en dire ce qu'on veut en terme de comportement politique, en attendant c'est une sécurité accessible à tout le monde.
Spas un nouveau langage à apprendre, s't'un nouveau langage à adapter, sécuriser, accélérer, intégrer, déployer. Pas la même chose.le 30/08/2012 à 14:47 -
dragon-noirMembre à l'essaibonsoir ,
java7 update 7
dispo sur http://java.com/fr/download/manual.jsp
ne sait pas s'il elle comble la faille de sécurité silence radio pour l'instant
http://www.oracle.com/technetwork/ja...ads/index.html
Mise à jour Java SE 7 7 Paru
Cette mise à jour corrige des vulnérabilités de sécurité récentes. Oracle recommande vivement à tous les utilisateurs de Java SE 7 jour vers cette version.
http://www.oracle.com/technetwork/ja...iew/index.html le 30/08/2012 à 19:47 -
CrazyfabooMembre actifOracle n'a cependant pas communiqué sur la faille de sécurité en question. Il serait très surprenant que cette mise à jour hors planning et post-"scandale" ne corrige pas la faille. Cela dit, quelques tests s'avèrent tout de même nécessaire. D'autant plus qu'ils ont peut-être créé d'autres failles en la corrigeant (sûrement à la va-vite)...
Bien qu'Oracle ait publié une MAJ, mais pas bien qu'ils ne communiquent pas sur la faille en particulier.le 31/08/2012 à 11:34 -
UtherExpert éminent séniorEt pas que sur internet.
C'est bien connu que le système le plus sur jamais réalisé c'est : http://www.bernardbelanger.com/compu...NaDa/index.phple 03/09/2012 à 19:41 -
FreemMembre éméritePeut-être parce qu'il y a vachement plus de sites qui utilisent flash?
Genre, par exemple, les sites des streaming. Les sites de jeux, aussi.
D'ailleurs, le jour où ce sera possible de se passer de flash, rassures-toi, je pense que nombreux seront ceux qui le feront... notamment sous linux ou ce truc à une stabilité douteuse.le 04/09/2012 à 9:55 -
tchize_Expert éminent séniorTu veux dire comme un bateau qui coulerais dès qu'il y aurait un trou dans le sous-système "coque immergée" ?
Mauvaise nouvelle, c'est ce que font la plupart des petits bateauxle 05/09/2012 à 10:10 -
tchize_Expert éminent séniorle 11/10/2012 à 15:50
-
GugelhupfModérateurDes fois je suis surpris de lire des articles comme celui-ci, je me dis que nous sommes peut-être quelques milliers d'informaticiens à lire ces infos et qu'il doit y avoir des centaines de milliers d'autres personnes qui n'en seront jamais au courant et qui seront peut-être affectés.Je ne comprend pas trop cette haine des plugins et l'émerveillement devant le javascript. Ce vieux langage pourris des années 90 que personne voulait utiliser.
Toutes ces années de recherches sur les Langages pour finalement imposer Javascript comme langage universelle 30/08/2012 à 14:28