Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Java : encore une nouvelle faille critique
1,1 milliard d'utilisateurs concernés par cette vulnérabilité de Java 5, 6 et 7

Le , par Nissa Comet

0PARTAGES

0  0 
C’est à la société polonaise de recherche de vulnérabilités « Security Explorations » qu’on doit la malheureuse découverte d’une nouvelle faille critique dans la plateforme Java 7. Ses chercheurs ont détecté un bogue dans le correctif publié par Oracle le 30 août dernier (lire ci-avant).


Désormais aucun utilisateur des navigateurs Web, à savoir Chrome, Firefox, Opera, Safari ou Internet Explorer (dotés d'un plug-in Java activé) n’est à l’abri. En effet, cette faille peut entraîner une intrusion qui prendrait le contrôle complet sur une machine se connectant à un site Web malveillant. En guise de solution d'urgence, plusieurs experts recommandent la désactivation du plug-in.

Les chercheurs de Security Explorations ont déclaré à la presse que cette faille de sécurité autorise une attaque pouvant accéder à tout ordinateur, y compris les Macs d'Apple. Cette faille risque même d’affecter les anciennes versions de Java notamment Java 5 et Java 6, ce qui mettrait en péril un total de 1,1 milliard d’utilisateurs, chiffre déclaré dans le site officiel de Java.

Adam Gowdiak, fondateur et PDG de « Security Explorations » a déclaré, un brin moqueur, sur la liste de diffusion BugTraq : « Nous espérons que la nouvelle d'un milliard d'utilisateurs d'Oracle Java SE étant vulnérables à une nouvelle faille de sécurité ne va pas gâcher le goût du [café] matinal de Larry Ellison ».


Gowdiak explique que cette faille permet de violer une contrainte de sécurité fondamentale de la Machine virtuelle Java en rapport avec la sûreté du typage.

Il est clair qu'Oracle devra attendre longtemps avant de restaurer la confiance secouée en la fiabilité de ses plug-ins. Que va-t-il se passer à présent ? Les utilisateurs sont-ils obligés d’attendre à chaque fois un rapport de vulnérabilités avant d’installer n'importe quelle version de Java ? Ou devront-ils abandonner Java pour de bon ?

Ambiance, ambiance en perspective pour la conférence imminente JavaOne 2012...

Rapport détaillé sur la faille
Instructions pour désactiver Java de n'importe quel navigateur Web

Sources : Forbes, site officiel de Java

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 26/09/2012 à 15:42
Citation Envoyé par Freem Voir le message

Problèmes de jeunesse peut-être (je ne sais pas quand il est sorti?)...
Il y a un an, 2 mois et 19 jours
4  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 26/09/2012 à 16:56
Citation Envoyé par Elendhil Voir le message
Je ne suis pas un expert mais pour moi oui évidement , si tu es sous vista, seven, windows 8 avec l'UAC d'activé le programme ne pourra pas faire beaucoup de mal ...
Mouais, chez l'utilisateur lambda, tu en profite pour déposer un paquet MSI (ça pas besoin de l'UAC) que t'appelle firefox update et qui attends gentillement que tu ferme ton firefox pour ensuite demander les droits à l'UAC.

Et hop, un joli "firefox update veux modifier votre machine".

Combien vont cliquer non?
3  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 11/10/2012 à 15:50
Citation Envoyé par devyan Voir le message
Quoi nous ne sommes pas des DIEUX infaillibles ?!?
Non, mais l'important, c'est que nos boss le croient
2  0 
Avatar de Freem
Membre émérite https://www.developpez.com
Le 26/09/2012 à 15:35
J'ai envie de dire 2 choses: "Encore?" et "J'adore le nouveau logo java il va bien avec la vanne de Mr Gowdiak"

En tout cas, ce qui est sûr, c'est que c'est une véritable pluie de faille qui tombe sur java 7.
Problèmes de jeunesse peut-être (je ne sais pas quand il est sorti?)...
1  0 
Avatar de fregolo52
Expert confirmé https://www.developpez.com
Le 26/09/2012 à 16:59
Citation Envoyé par Elendhil Voir le message
Sur les 1 milliard il doit pas avoir beaucoup de pc ou on peut exploiter réellement cette faille mais bon ça doit faire quand même quelques millions de machines à exploiter.
Oui si je comprends bien cette faille est dans les derniers versions des JRE. c'est bien ça ? Si oui, ouf ! je ne suis pas à jour. (mais c'est peut-être pire)
1  0 
Avatar de Elendhil
Membre averti https://www.developpez.com
Le 26/09/2012 à 17:35
Ça a pas de sens pour un programme java qui tourne en dehors de la sandbox , vu qu'il peut déjà exécuter le code qu'il veut.
Après c'est l'OS qui peut restreindre l'application et demander à l'utilisateur si il est d'accord pour lui donner les droits.
1  0 
Avatar de Squisqui
En attente de confirmation mail https://www.developpez.com
Le 26/09/2012 à 19:36
Citation Envoyé par Elendhil Voir le message
Je ne suis pas un expert mais pour moi oui évidement , si tu es sous vista, seven, windows 8 avec l'UAC d'activé le programme ne pourra pas faire beaucoup de mal ...
Ou pas.
Dans ses paramètres par défaut, l'UAC ne demande pas souvent ton avis (dû aux plaintes des utilisateurs depuis Windows Vista).
Pire encore, la technique du "ça marche pas ? désactive ton antivirus et ton pare-feu, puis recommence" (made by bidouilleur du dimanche, voir un éditeur pour un installer un DRM) est assez répandue...
1  0 
Avatar de andry.aime
Rédacteur/Modérateur https://www.developpez.com
Le 11/01/2013 à 12:24
Citation Envoyé par Enerian Voir le message
Il est recommandé de désactiver les plugins java des navigateurs web.
C'était déjà conseillé depuis la nuit des temps .
1  0 
Avatar de kiprok
Membre averti https://www.developpez.com
Le 26/09/2012 à 16:21
Une petite question : pour exploiter cette faille sous windows il faut bien que la victime soit sous une session avec des droits forts (admin) non?

Si je n'ai que les droits d'un simple utilisateur : suis je "protégé"?
0  0 
Avatar de Elendhil
Membre averti https://www.developpez.com
Le 26/09/2012 à 16:50
pour exploiter cette faille sous windows il faut bien que la victime soit sous une session avec des droits forts (admin) non?
Je ne suis pas un expert mais pour moi oui évidement , si tu es sous vista, seven, windows 8 avec l'UAC d'activé le programme ne pourra pas faire beaucoup de mal ...

Bon sur XP en admin ou un windows avec l'UAC désactivé , oui la c'est clair qu'il peut exécuter ce qu'il veut sur la machine.

Mais bon il reste encore à passer l'antivirus, par exemple si tu essaie d’exécuter le code donné sur la première faille, l'antivirus MSE le bloc sans problème et ça dès l'annonce qui a été faite sur le forum.

Sur les 1 milliard il doit pas avoir beaucoup de pc ou on peut exploiter réellement cette faille mais bon ça doit faire quand même quelques millions de machines à exploiter.
0  0