Faille de sécurité critique dans Java 7 activement exploitée
Pouvant être utilisée pour installer des malwares

Le , par Hinault Romaric

0PARTAGES

11  2 
Une nouvelle faille de sécurité vient d’être découverte par des chercheurs en sécurité dans la plateforme de développement Java.

Selon l’alerte de sécurité publiée par le groupe US-CERT (cellule américaine de sécurité informatique), la vulnérabilité concerne la dernière mise à jour Java 7 Update 10 et la mise à jour Java 7 Update 9 (versions qui ont été testées pour l’instant).

La faille peut être exploitée par un pirate après la visite d’un site Web compromis pour exécuter du code arbitraire à distance et installer des applications malveillantes sur le poste d’un utilisateur.

Les risques liés à cette faille sont assez élevés, dans la mesure où le code d’exploit a déjà été divulgué publiquement. Le kit de piratage BlackHole intègre une copie du code des instructions permettant d’exploiter la faille.

Pour l’instant, Oracle n’a encore fait aucun commentaire sur cette nouvelle faille. Les experts en sécurité conseillent de désactiver le plug-in Java dans le navigateur tant qu’un correctif n’a pas été publié.

Pour les utilisateurs de Java 7u10, ils pourront dans le panneau de configuration désactiver les applications Java qui s’exécutent dans le navigateur et définir un niveau de sécurité pour les applets non signés, les applications Java Web Start et les solutions embarquées JavaFX qui s’exécutent dans le navigateur.

Source : US-CERT

Et vous ?

Que pensez-vous de cette faille ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de ndalaba
Membre régulier https://www.developpez.com
Le 11/01/2013 à 13:14
Avec tout le temps de nouvelles failles de sécurité je me demande comment oracle pourra confirmer son fameux javaFX qui souffre déjà d'une mauvaise réputation due au ancienne version.
Avatar de CHbox
Membre confirmé https://www.developpez.com
Le 11/01/2013 à 14:13
J'en pense que de toute manière je n'ai pas réactivé mon plugin Java depuis très longtemps et que je vais continuer comme ça...
Avatar de ValCapri
Membre régulier https://www.developpez.com
Le 11/01/2013 à 17:45
Je vais finir par penser qu'Apple avait raison de ne plus installer Java dans OS X par défaut ou désactiver les plugins Java.

Cela commence a faire beaucoup de failles pour le plug-in Java.

J'adore Java mais pas pour des Applets ou JavaFX. Je préfères les JSF, GWT et autres qui génèrent de l'HTML5, JS et CSS.
Avatar de mascoco
Membre à l'essai https://www.developpez.com
Le 11/01/2013 à 19:44
que des soucis de sécurité depuis le rachat de SUN par Oracle
Avatar de Squisqui
En attente de confirmation mail https://www.developpez.com
Le 11/01/2013 à 22:08
Citation Envoyé par mascoco Voir le message
que des soucis de sécurité depuis le rachat de SUN par Oracle
Et encore... habituellement, la faille est suivie jusqu'à SE6 du temps de Sun, donc des failles qui ont peut-être toujours été là.
Avatar de mohamine1989
Membre confirmé https://www.developpez.com
Le 12/01/2013 à 1:06
Non mais ça c'est pas une faille, c'est un gouffre
Avatar de olivier.pitton
Membre émérite https://www.developpez.com
Le 12/01/2013 à 8:26
Je ne pense pas que le réel problème vienne de Java, mais simplement de la façon dont on annonce la news, si je puis dire.

Une news disant : "Faille de sécurité critique", on a tendance à penser que le logiciel derrière n'est pas si vérifié et sur que cela.

Une news disant : "Nouvelle version de Chrome..." avec plein de fonctionnalités / supports et une petite ligne pour "Chrome 24 apporte des correctifs pour 24 failles de sécurité" (cf: ici), on a tendance à penser que le logiciel est sur et robuste. Jusqu'à la news sur la prochaine version qui corrigera 10 failles dont 2 critiques.

Quoiqu'il en soit, j'espère qu'Oracle la corrigera vite afin d'éviter de plomber l'image de Java.
Avatar de Laurent.B
Rédacteur/Modérateur https://www.developpez.com
Le 12/01/2013 à 10:44
Citation Envoyé par olivier.pitton Voir le message
Je ne pense pas que le réel problème vienne de Java, mais simplement de la façon dont on annonce la news, si je puis dire.
La façon dont est annoncée la news traduit simplement le fait, à mon sens, que l'on aimerait bien qu'Oracle prenne ce genre de problème au sérieux et réagisse plus vite que ce qu'ils ne l'ont fait jusqu'à maintenant...

Car même si pour beaucoup je pense, on se passe en général aisément du plug-in Java dans le navigateur (personnellement il est assez rare que j'en ai besoin, ah si pour les impôts tiens), ceux qui en ont besoin plus régulièrement doivent être agacés (si tant est qu'ils connaissent l'existence du problème), d'avoir à l'activer ou le désactiver, selon les sites qu'ils visitent. Et pour ceux qui ignoreraient l'existence du problème c'est encore pire. Donc, oui, je pense qu'il y a matière à être volontairement alarmiste, tu ne crois pas ? Ca ne donne pas forcément une bonne image au produit concerné, c'est sûr, mais si ça peut contribuer à faire bouger les choses rapidement, dans ce genre de cas, je dirais que c'est un moindre mal.
Avatar de amine_dev
Candidat au Club https://www.developpez.com
Le 13/01/2013 à 9:58
Est ce que le risque existe pour les utilisateur linux aussi?
Avatar de Enerian
Membre éclairé https://www.developpez.com
Le 13/01/2013 à 10:28
Citation Envoyé par amine_dev Voir le message
Est ce que le risque existe pour les utilisateur linux aussi?
Je ne vois pas pourquoi linux serait épargné. La faille est exploitée par le biais des plugins Java installés sur les navigateurs web. Si tu as ce type de plugin, il est recommandé de le(s) désactiver.

Après, c'est une question d'impact. De par la gestion des droits des systèmes linux, un code malveillant exploitant la faille n'aura pas un rayon d'action illimité. Mais ce n'est pas une raison pour se croire à l'abris. Il reste possible de voler ou détruire certaines données / préférences, voire d'utiliser cette faille pour en exploiter une autre au niveau de l'os.

Donc à mon avis, désactive tes plugins Java, quelque soit l'os que tu utilises.
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web