Java : une vulnérabilité découverte dans le correctif d'urgence publié par Oracle
Pouvant produire les mêmes dommages
Le 2012-09-03 16:16:27, par Hinault Romaric, Responsable .NET
Mise à jour du 03/09/2012
La mise à jour de sécurité Java 7 update 7 publiée la semaine dernière par Oracle contient une nouvelle faille critique pouvant entrainer les mêmes dommages que la vulnérabilité qu’elle corrige.
Java 7 u 7 avait été publié d’urgence comme correctif à une vulnérabilité critique dans la plateforme, pouvant être exploitée à distance par un pirate via une page web malicieuse qui, après consultation, pouvait affecter la disponibilité, l’intégrité et la confidentialité du système d’exploitation de l’utilisateur (lire ci-devant).
Le cabinet polonais Security Explorations qui avait découvert la précédente faille a annoncé qu’il avait trouvé une autre vulnérabilité dans la dernière version de Java.
Selon le PDG de Security Explorations Adam Gowdiak , la vulnérabilité permettrait à un pirate de contourner complètement la sécurité du sandbox Java, et d'installer des logiciels malveillants ou d'exécuter du code sur les systèmes affectés.
Pour l’instant, cette vulnérabilité ne serait pas encore activement exploitée. Security Explorations a déclaré qu’il n’avait découvert aucun exploit reposant sur cette faille. Mais, pour combien de temps ?
Les détails sur le problème ainsi qu’une preuve de réalisation ont été transmis à Oracle. Security Explorations s’est abstenu de les divulguer publiquement afin de limiter les risques.
Avant une réaction d’Oracle, compte tenu de la similitude avec la précédente faille, il est recommandé de désactiver le plug-in Java dans les navigateurs.
Source
La mise à jour de sécurité Java 7 update 7 publiée la semaine dernière par Oracle contient une nouvelle faille critique pouvant entrainer les mêmes dommages que la vulnérabilité qu’elle corrige.
Java 7 u 7 avait été publié d’urgence comme correctif à une vulnérabilité critique dans la plateforme, pouvant être exploitée à distance par un pirate via une page web malicieuse qui, après consultation, pouvait affecter la disponibilité, l’intégrité et la confidentialité du système d’exploitation de l’utilisateur (lire ci-devant).
Le cabinet polonais Security Explorations qui avait découvert la précédente faille a annoncé qu’il avait trouvé une autre vulnérabilité dans la dernière version de Java.
Selon le PDG de Security Explorations Adam Gowdiak , la vulnérabilité permettrait à un pirate de contourner complètement la sécurité du sandbox Java, et d'installer des logiciels malveillants ou d'exécuter du code sur les systèmes affectés.
Pour l’instant, cette vulnérabilité ne serait pas encore activement exploitée. Security Explorations a déclaré qu’il n’avait découvert aucun exploit reposant sur cette faille. Mais, pour combien de temps ?
Les détails sur le problème ainsi qu’une preuve de réalisation ont été transmis à Oracle. Security Explorations s’est abstenu de les divulguer publiquement afin de limiter les risques.
Avant une réaction d’Oracle, compte tenu de la similitude avec la précédente faille, il est recommandé de désactiver le plug-in Java dans les navigateurs.
Source
-
tchize_Expert éminent séniorle 26/09/2012 à 15:42
-
tchize_Expert éminent séniorMouais, chez l'utilisateur lambda, tu en profite pour déposer un paquet MSI (ça pas besoin de l'UAC) que t'appelle firefox update et qui attends gentillement que tu ferme ton firefox pour ensuite demander les droits à l'UAC.
Et hop, un joli "firefox update veux modifier votre machine".
Combien vont cliquer non?le 26/09/2012 à 16:56 -
UtherExpert éminent séniorEt pas que sur internet.
C'est bien connu que le système le plus sur jamais réalisé c'est : http://www.bernardbelanger.com/compu...NaDa/index.phple 03/09/2012 à 19:41 -
FreemMembre éméritePeut-être parce qu'il y a vachement plus de sites qui utilisent flash?
Genre, par exemple, les sites des streaming. Les sites de jeux, aussi.
D'ailleurs, le jour où ce sera possible de se passer de flash, rassures-toi, je pense que nombreux seront ceux qui le feront... notamment sous linux ou ce truc à une stabilité douteuse.le 04/09/2012 à 9:55 -
tchize_Expert éminent séniorTu veux dire comme un bateau qui coulerais dès qu'il y aurait un trou dans le sous-système "coque immergée" ?
Mauvaise nouvelle, c'est ce que font la plupart des petits bateauxle 05/09/2012 à 10:10 -
tchize_Expert éminent séniorle 11/10/2012 à 15:50
-
camus3Membre éprouvéLa sécurité sur Internet est inversement proportionnelle au niveau de richesse et d'interactivité que propose un site.
Personnellement par défaut je désactive tout ,et active les fonctionnalités telles que javascript ou flash si et seulement si elles sont nécessaires.le 04/09/2012 à 13:11 -
FreemMembre émériteJ'ai envie de dire 2 choses: "Encore?" et "J'adore le nouveau logo java
il va bien avec la vanne de Mr Gowdiak"
En tout cas, ce qui est sûr, c'est que c'est une véritable pluie de faille qui tombe sur java 7.
Problèmes de jeunesse peut-être (je ne sais pas quand il est sorti?)...le 26/09/2012 à 15:35 -
fregolo52Expert confirméOui si je comprends bien cette faille est dans les derniers versions des JRE. c'est bien ça ? Si oui, ouf ! je ne suis pas à jour. (mais c'est peut-être pire)le 26/09/2012 à 16:59
-
ElendhilMembre avertiÇa a pas de sens pour un programme java qui tourne en dehors de la sandbox , vu qu'il peut déjà exécuter le code qu'il veut.
Après c'est l'OS qui peut restreindre l'application et demander à l'utilisateur si il est d'accord pour lui donner les droits.le 26/09/2012 à 17:35