Java : une vulnérabilité découverte dans le correctif d'urgence publié par Oracle
Pouvant produire les mêmes dommages

Le , par Hinault Romaric, Responsable .NET
Mise à jour du 03/09/2012

La mise à jour de sécurité Java 7 update 7 publiée la semaine dernière par Oracle contient une nouvelle faille critique pouvant entrainer les mêmes dommages que la vulnérabilité qu’elle corrige.

Java 7 u 7 avait été publié d’urgence comme correctif à une vulnérabilité critique dans la plateforme, pouvant être exploitée à distance par un pirate via une page web malicieuse qui, après consultation, pouvait affecter la disponibilité, l’intégrité et la confidentialité du système d’exploitation de l’utilisateur (lire ci-devant).

Le cabinet polonais Security Explorations qui avait découvert la précédente faille a annoncé qu’il avait trouvé une autre vulnérabilité dans la dernière version de Java.

Selon le PDG de Security Explorations Adam Gowdiak , la vulnérabilité permettrait à un pirate de contourner complètement la sécurité du sandbox Java, et d'installer des logiciels malveillants ou d'exécuter du code sur les systèmes affectés.

Pour l’instant, cette vulnérabilité ne serait pas encore activement exploitée. Security Explorations a déclaré qu’il n’avait découvert aucun exploit reposant sur cette faille. Mais, pour combien de temps ?

Les détails sur le problème ainsi qu’une preuve de réalisation ont été transmis à Oracle. Security Explorations s’est abstenu de les divulguer publiquement afin de limiter les risques.

Avant une réaction d’Oracle, compte tenu de la similitude avec la précédente faille, il est recommandé de désactiver le plug-in Java dans les navigateurs.

Source


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Squeak Squeak - Membre actif https://www.developpez.com
le 03/09/2012 à 19:35
Ca confirme quand même que la plupart des failles d'Internet viennent des plugins et non du navigateur en lui même. Java est beaucoup moins nécessaire aujourd'hui sur le Web et personnellement, j'ai fini par le désactiver aussi.

Concernant la mise à jour qui comporte elle-même une faille, Oracle a sans doute voulu faire trop vite...

Citation perso :

La sécurité sur Internet est inversement proportionnelle au niveau de richesse et d'interactivité que propose un site.
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 03/09/2012 à 19:41
Et pas que sur internet.
C'est bien connu que le système le plus sur jamais réalisé c'est : http://www.bernardbelanger.com/compu...NaDa/index.php
Avatar de wax78 wax78 - Modérateur https://www.developpez.com
le 03/09/2012 à 20:04
lol j'adore ce soft Nada :p
Avatar de Philippe Bastiani Philippe Bastiani - Membre éprouvé https://www.developpez.com
le 03/09/2012 à 23:13
Citation Envoyé par Hinault Romaric Voir le message
Java : une vulnérabilité découverte dans le correctif d’urgence publié par Oracle pouvant produire les mêmes dommages
Celà confirme le billet d'Eric Romang cité plus haut autres détails ici

Mais l'origine de la faille n'est pas claire: est-ce du au patch ou était-elle présente sur Java7up6 et Java6up34 ?

Perso, je dirais, que les personnes ne pouvant désactiver l'extension Java de leur explorateur internet ont tout intéret à revenir à Java6up33.

Des bugs il y en a dans tous les soft... il n'en reste pas moins que la gestion de la situation par Oracle ressemble à celle de Microsoft il y a 10 ans Bref, pas très pro !

En parlant de faille 0day: les gars Oracle font malgré eux le buzz... mais IMHO, Adobe fait encore plus fort en ce moment... et, pourtant, la presse du moment ne conseille pas de désactiver leur player ! Vas savoir pourquoi !
Avatar de deathness deathness - Membre émérite https://www.developpez.com
le 04/09/2012 à 9:16
Citation Envoyé par Squeak Voir le message
Ca confirme quand même que la plupart des failles d'Internet viennent des plugins et non du navigateur en lui même. Java est beaucoup moins nécessaire aujourd'hui sur le Web et personnellement, j'ai fini par le désactiver aussi.

Concernant la mise à jour qui comporte elle-même une faille, Oracle a sans doute voulu faire trop vite...

Citation perso :

La sécurité sur Internet est inversement proportionnelle au niveau de richesse et d'interactivité que propose un site.
Bah le navigateur devient de plus en plus "simple" en fait, donc c'est aussi moins de porte d'entrée. La mode est au navigateur simple qu'on améliore par ajout, et donc c'est bien là que les risques sont grands.
Avatar de Freem Freem - Membre émérite https://www.developpez.com
le 04/09/2012 à 9:55
Citation Envoyé par Philippe Bastiani Voir le message
et, pourtant, la presse du moment ne conseille pas de désactiver leur player ! Vas savoir pourquoi !
Peut-être parce qu'il y a vachement plus de sites qui utilisent flash?
Genre, par exemple, les sites des streaming. Les sites de jeux, aussi.

D'ailleurs, le jour où ce sera possible de se passer de flash, rassures-toi, je pense que nombreux seront ceux qui le feront... notamment sous linux ou ce truc à une stabilité douteuse.
Avatar de Gugelhupf Gugelhupf - Modérateur https://www.developpez.com
le 04/09/2012 à 10:45
Est-ce que ces failles peuvent aussi apparaitre dans un autre langage comme C# ou on les découvre plus en Java parce que celui-ci est très utilisé ?
Avatar de deathness deathness - Membre émérite https://www.developpez.com
le 04/09/2012 à 10:53
Citation Envoyé par Gugelhupf Voir le message
Est-ce que ces failles peuvent aussi apparaitre dans un autre langage comme C# ou on les découvre plus en Java parce que celui-ci est très utilisé ?
Java est très utilisé pour le net, qui est donc la cible privilégié des attaques; D'ou la découverte de ces failles.

Le c# en a surement, mais comme il est beaucoup moins utilisé sur le net, ça n'a pas vraiment d'importance.
Avatar de rt15 rt15 - Membre confirmé https://www.developpez.com
le 04/09/2012 à 11:55
Citation Envoyé par Gugelhupf Voir le message
Est-ce que ces failles peuvent aussi apparaitre dans un autre langage comme C# ou on les découvre plus en Java parce que celui-ci est très utilisé ?
Encore une fois, cette faille n'a d'intérêt qu'utilisée dans un applet.
Et encore une fois aussi, java est peu utilisé sur le net côté client. Par contre la plupart des navigateurs exécutent les applets. Donc énormément d'utilisateurs lambda sont vulnérables.

Une faille équivalente en C# reviendrait à une élévation de privilège dans une application silverlight. Ce type de faille est effectivement moins intéressant en terme de parc attaquable car moins de navigateurs d'utilisateurs lambda dispose de la capacité à exécuter des application silverlight. Ce bulletin parle de la découverte de ce type de faille. Les détails sont dans "Informations par vulnérabilité".
Avatar de camus3 camus3 - Membre éprouvé https://www.developpez.com
le 04/09/2012 à 13:11
La sécurité sur Internet est inversement proportionnelle au niveau de richesse et d'interactivité que propose un site.
non puisqu'un site peut être infecté par un code javascript malicieux , à l'insu du propriétaire du site.
Personnellement par défaut je désactive tout ,et active les fonctionnalités telles que javascript ou flash si et seulement si elles sont nécessaires.
Contacter le responsable de la rubrique Accueil