IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Faille de sécurité critique dans Java 7 activement exploitée
Pouvant être utilisée pour installer des malwares

Le , par Hinault Romaric
114 commentaires

61PARTAGES

11  2 
Une nouvelle faille de sécurité vient d’être découverte par des chercheurs en sécurité dans la plateforme de développement Java.

Selon l’alerte de sécurité publiée par le groupe US-CERT (cellule américaine de sécurité informatique), la vulnérabilité concerne la dernière mise à jour Java 7 Update 10 et la mise à jour Java 7 Update 9 (versions qui ont été testées pour l’instant).

La faille peut être exploitée par un pirate après la visite d’un site Web compromis pour exécuter du code arbitraire à distance et installer des applications malveillantes sur le poste d’un utilisateur.

Les risques liés à cette faille sont assez élevés, dans la mesure où le code d’exploit a déjà été divulgué publiquement. Le kit de piratage BlackHole intègre une copie du code des instructions permettant d’exploiter la faille.

Pour l’instant, Oracle n’a encore fait aucun commentaire sur cette nouvelle faille. Les experts en sécurité conseillent de désactiver le plug-in Java dans le navigateur tant qu’un correctif n’a pas été publié.

Pour les utilisateurs de Java 7u10, ils pourront dans le panneau de configuration désactiver les applications Java qui s’exécutent dans le navigateur et définir un niveau de sécurité pour les applets non signés, les applications Java Web Start et les solutions embarquées JavaFX qui s’exécutent dans le navigateur.

Source : US-CERT

Et vous ?

Que pensez-vous de cette faille ?

Une erreur dans cette actualité ? Signalez-nous-la !

114 commentaires
Commenter Signaler un problème
Philippe Bastiani
Avatar de Philippe Bastiani
Membre éprouvé https://www.developpez.com
Le 21/01/2013 à 22:54
Citation Envoyé par LSMetag Voir le message
J'ai l'impression que j'ai fait une bonne opération en délaissant Java pour .NET.
Quel est le rapport avec dotnet ? Il y a beaucoup, d'amalgame dans les news depuis 6 mois, mais ici on parle d'un plugin pour navigateur et non pas de Java ! Java ne se réduit pas à ce plugin fort heureusement... Qui plus est: un plugin inutile pour 99.99% des utilisateurs de l'Internet... Après celà fait tâche c'est clair Mais je ne vois pas, dans ces annonces de failles, ce qui pourrait remettre en cause les fondements de JavaSE et JavaEE. Pourtant, il doit bien y en avoir de bien bonnes...

Comme dit plus haut, moi c'est tous les mois, le nombre de patches dotnet, windows, IE, office de sécurité qui s'installent sur mon poste que je suis de près sans les voir diminuer... et , pourtant Microsoft à fait des nets progrès sur le sujet tant en communication qu'en réactivité !

A+
13  0 
olivier.pitton
Avatar de olivier.pitton
Membre émérite https://www.developpez.com
Le 12/01/2013 à 8:26
Je ne pense pas que le réel problème vienne de Java, mais simplement de la façon dont on annonce la news, si je puis dire.

Une news disant : "Faille de sécurité critique", on a tendance à penser que le logiciel derrière n'est pas si vérifié et sur que cela.

Une news disant : "Nouvelle version de Chrome..." avec plein de fonctionnalités / supports et une petite ligne pour "Chrome 24 apporte des correctifs pour 24 failles de sécurité" (cf: ici), on a tendance à penser que le logiciel est sur et robuste. Jusqu'à la news sur la prochaine version qui corrigera 10 failles dont 2 critiques.

Quoiqu'il en soit, j'espère qu'Oracle la corrigera vite afin d'éviter de plomber l'image de Java.
12  5 
Uther
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 20/03/2013 à 13:01
Sauf que pour utiliser JNA, il faut avoir donner l'autorisation d’exécuter du code Java non sécurisé. Donc cette société enfonce une porte ouverte, a moins qu'elle ait trouvé un moyen d'utiliser JNA depuis la sandbox, ce qui ne semble pas être le cas.
Si Lexsi viens de découvrir que Java permet de faire appel à du code natif, je m'inquiète vraiment de leur sérieux et je ne leur confierais certainement pas la moindre mission de sécurité.

Citation Envoyé par Stéphane le calme
Désactiver la JNA serait-il une solution aux problèmes causés par les failles de sécurité ?
La question n'a pas vraiment de sens.
JNA ne fait pas partie de Java et n'est pas désactivable. C'est juste une bibliothèque native que l'on peux ajouter à son application comme le sont SWT, LWJGL, ...
Et comme il s'agit d'une bibliothèque native elle n'est de toute façon pas utilisable dans un applet si on n'a pas préalablement diminué la sécurité.
5  0 
ValCapri
Avatar de ValCapri
Membre habitué https://www.developpez.com
Le 11/01/2013 à 17:45
Je vais finir par penser qu'Apple avait raison de ne plus installer Java dans OS X par défaut ou désactiver les plugins Java.

Cela commence a faire beaucoup de failles pour le plug-in Java.

J'adore Java mais pas pour des Applets ou JavaFX. Je préfères les JSF, GWT et autres qui génèrent de l'HTML5, JS et CSS.
4  1 
Philippe Bastiani
Avatar de Philippe Bastiani
Membre éprouvé https://www.developpez.com
Le 21/01/2013 à 19:54
Moi ce que je note c'est le regain d'intéret pour Java
- des cabinets de sécurité,
- des pirates et hackers.
malgré le manque d'intéret des applets dans le monde des développeurs !
Est-ce le fait que derrière Java, il y ait Oracle ? Enfin, bon... sans vouloir défendre Oracle, je ne pense pas que les versions antérieures de Java étaient mieux sécurisées ! Il faut donc espérer, que ces découvertes à répétition sensibilisent Oracle sur le process à mettre en place...

Franchement, vous en rencontrez souvant des sites nécessitant l'extension Java des navigateurs Internet? A si... les impots !
Perso, je me sens bien plus concerné par les failles de ces navigateurs ou celles de nos OS...

a+
Philippe
3  0 
Grimly_old
Avatar de Grimly_old
Membre averti https://www.developpez.com
Le 22/01/2013 à 10:36
/popcorn

C'est marrant de voir de plus en plus de sujets sur des failles Java alors que les seules applications java que je sais être utilisé quotidiennement sont les serveurs web (Glassfish, Tomcat, Netty...) en entreprise et Minecraft (c'est bien la seule raison pour laquelle mes frères ont java sur leur PC). Quand bien même Minecraft existe sous forme d'applet, aucun des deux n'est soumis à ce genre de failles.

Tout est sujet à faire peur les managers et promouvoir un changement de technologie pour au final aucun apport et un coût bien plus important parce qu'il faut former les développeurs.

Même une application utilisant le bien critiqué trio Apache/PHP/MySQL peux être sécurisé ! Si des développeurs savent le faire alors qu'on les laisse faire au lieu de leur forcer à utiliser des technos dont ils peuvent ignorer certaines failles éventuelles.
3  0 
Deadpool
Avatar de Deadpool
Membre chevronné https://www.developpez.com
Le 22/01/2013 à 14:06
Citation Envoyé par bruneltouopi Voir le message
Il faudrait d'abord axer le developpement sur le coté sécurité de java.Et depuis que Oracle a acheté SUN on dirait qu'il y'a plus vraiment une politique accrue sur java.
On parle de java 8 pour palier à certaines failles de sécurité mais déjà java 7 ça explosera entre les mains.
Malgré cela java demeures un des langages les plus utilisés surtout avec les Os mobiles tels que Android.
Android ne s'appuie pas sur la jvm d'Oracle.

Citation Envoyé par skypers Voir le message
Ahah c’est tellement génial de voir le nombre de failles découvertes s’accroître et de voir les « pro-Java » chercher des excuses bidons pour continuer à prôner ce « langage » comme une révolution multiplateforme, ou une connerie dans le genre.

Au moins, bien que ce langage soit pourri de A à Z, il me fait bien rire
Il ne faut pas confondre le langage et la plateforme.

Là en l'occurrence, c'est la plateforme qui a des failles.
3  0 
Uther
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 23/01/2013 à 8:46
Citation Envoyé par Lutarez Voir le message
Pour continuer dans le hors-sujet, après je file : ne pas oubliez Mono ! L'air de rien, il continue à faire son chemin et fait tourner certaines applications assez populaires dans leurs domaines...
Mono comme Wine sont des projets colossaux réalisé très sérieusement mais qui ne pourront jamais être considérés sérieusement car ils sont condamnés a courir derrière Microsoft qui reste seul maitre de ses API et continue de les faire évoluer.
3  0 
CHbox
Avatar de CHbox
Membre confirmé https://www.developpez.com
Le 11/01/2013 à 14:13
J'en pense que de toute manière je n'ai pas réactivé mon plugin Java depuis très longtemps et que je vais continuer comme ça...
5  3 
Laurent.B
Avatar de Laurent.B
Rédacteur/Modérateur https://www.developpez.com
Le 12/01/2013 à 10:44
Citation Envoyé par olivier.pitton Voir le message
Je ne pense pas que le réel problème vienne de Java, mais simplement de la façon dont on annonce la news, si je puis dire.
La façon dont est annoncée la news traduit simplement le fait, à mon sens, que l'on aimerait bien qu'Oracle prenne ce genre de problème au sérieux et réagisse plus vite que ce qu'ils ne l'ont fait jusqu'à maintenant...

Car même si pour beaucoup je pense, on se passe en général aisément du plug-in Java dans le navigateur (personnellement il est assez rare que j'en ai besoin, ah si pour les impôts tiens), ceux qui en ont besoin plus régulièrement doivent être agacés (si tant est qu'ils connaissent l'existence du problème), d'avoir à l'activer ou le désactiver, selon les sites qu'ils visitent. Et pour ceux qui ignoreraient l'existence du problème c'est encore pire. Donc, oui, je pense qu'il y a matière à être volontairement alarmiste, tu ne crois pas ? Ca ne donne pas forcément une bonne image au produit concerné, c'est sûr, mais si ça peut contribuer à faire bouger les choses rapidement, dans ce genre de cas, je dirais que c'est un moindre mal.
3  1 
Commenter Signaler un problème