Oracle sort un correctif d'urgence pour la faille Java
Les experts en sécurité sceptiques, maintiennent la désactivation du plugin

Le , par Hinault Romaric

21PARTAGES

4  0 
Oracle a publié un correctif d’urgence pour la faille de sécurité dans Java, activement exploitée par les pirates.

La mise à jour Java 7 Update 11 apporte des correctifs pour les vulnérabilités étiquetées CVE-2013-0422 et CVE-2012-3174.

La faille CVE-2013-0422, dont le code des instructions permettant de l’exploiter a déjà été implémenté dans deux kits de piratage, permet après la visite d’un site web compromis, d’exécuter du code arbitraire à distance et d'installer des applications malveillantes sur le poste d’un utilisateur.

La vulnérabilité CVE-2012-3174, quant à elle, peut également être exploitée à distance via le plugin Java s’exécutant dans le navigateur, en incitant les utilisateurs à naviguer sur un site Web malveillant.

Java 7u11 modifie également la politique de sécurité par défaut du plugin Java, de sorte que dorénavant, les applets non signés devraient toujours générer un message d’avertissement à l’utilisateur avant d’être exécutés.

Oracle recommande l’application immédiate de cette mise à jour. La société estime également que les utilisateurs ayant désactivé le plugin Java peuvent l’activer à nouveau.

Sauf que, les experts en sécurité, presque à l’unanimité, suggèrent de maintenir le plugin Java bloqué. « C’est bien qu’Oracle ait fixé cette vulnérabilité rapidement », écrit l’expert en sécurité Brian Krebs dans un billet de blog. « Mais, je vais continuer à conseiller aux utilisateurs de désactiver Java s’ils ne l’utilisent pas ».

HB Moore, le créateur du kit de piratage Metasploit, estime qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.

Il est clair qu'Oracle devra attendre longtemps avant de restaurer la confiance secouée en la fiabilité du plug-in Java.

Télécharger Java 7 Update 11

Source : Oracle, Reuters, Krebs On Security

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Philippe Bastiani
Membre éprouvé https://www.developpez.com
Le 21/01/2013 à 22:54
Citation Envoyé par LSMetag Voir le message
J'ai l'impression que j'ai fait une bonne opération en délaissant Java pour .NET.
Quel est le rapport avec dotnet ? Il y a beaucoup, d'amalgame dans les news depuis 6 mois, mais ici on parle d'un plugin pour navigateur et non pas de Java ! Java ne se réduit pas à ce plugin fort heureusement... Qui plus est: un plugin inutile pour 99.99% des utilisateurs de l'Internet... Après celà fait tâche c'est clair Mais je ne vois pas, dans ces annonces de failles, ce qui pourrait remettre en cause les fondements de JavaSE et JavaEE. Pourtant, il doit bien y en avoir de bien bonnes...

Comme dit plus haut, moi c'est tous les mois, le nombre de patches dotnet, windows, IE, office de sécurité qui s'installent sur mon poste que je suis de près sans les voir diminuer... et , pourtant Microsoft à fait des nets progrès sur le sujet tant en communication qu'en réactivité !

A+
13  0 
Avatar de olivier.pitton
Membre émérite https://www.developpez.com
Le 12/01/2013 à 8:26
Je ne pense pas que le réel problème vienne de Java, mais simplement de la façon dont on annonce la news, si je puis dire.

Une news disant : "Faille de sécurité critique", on a tendance à penser que le logiciel derrière n'est pas si vérifié et sur que cela.

Une news disant : "Nouvelle version de Chrome..." avec plein de fonctionnalités / supports et une petite ligne pour "Chrome 24 apporte des correctifs pour 24 failles de sécurité" (cf: ici), on a tendance à penser que le logiciel est sur et robuste. Jusqu'à la news sur la prochaine version qui corrigera 10 failles dont 2 critiques.

Quoiqu'il en soit, j'espère qu'Oracle la corrigera vite afin d'éviter de plomber l'image de Java.
12  5 
Avatar de CHbox
Membre confirmé https://www.developpez.com
Le 11/01/2013 à 14:13
J'en pense que de toute manière je n'ai pas réactivé mon plugin Java depuis très longtemps et que je vais continuer comme ça...
5  3 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 20/03/2013 à 13:01
Sauf que pour utiliser JNA, il faut avoir donner l'autorisation d’exécuter du code Java non sécurisé. Donc cette société enfonce une porte ouverte, a moins qu'elle ait trouvé un moyen d'utiliser JNA depuis la sandbox, ce qui ne semble pas être le cas.
Si Lexsi viens de découvrir que Java permet de faire appel à du code natif, je m'inquiète vraiment de leur sérieux et je ne leur confierais certainement pas la moindre mission de sécurité.

Citation Envoyé par Stéphane le calme
Désactiver la JNA serait-il une solution aux problèmes causés par les failles de sécurité ?
La question n'a pas vraiment de sens.
JNA ne fait pas partie de Java et n'est pas désactivable. C'est juste une bibliothèque native que l'on peux ajouter à son application comme le sont SWT, LWJGL, ...
Et comme il s'agit d'une bibliothèque native elle n'est de toute façon pas utilisable dans un applet si on n'a pas préalablement diminué la sécurité.
5  0 
Avatar de ValCapri
Membre régulier https://www.developpez.com
Le 11/01/2013 à 17:45
Je vais finir par penser qu'Apple avait raison de ne plus installer Java dans OS X par défaut ou désactiver les plugins Java.

Cela commence a faire beaucoup de failles pour le plug-in Java.

J'adore Java mais pas pour des Applets ou JavaFX. Je préfères les JSF, GWT et autres qui génèrent de l'HTML5, JS et CSS.
4  1 
Avatar de mohamine1989
Membre confirmé https://www.developpez.com
Le 12/01/2013 à 1:06
Non mais ça c'est pas une faille, c'est un gouffre
4  5 
Avatar de Hinault Romaric
Responsable .NET https://www.developpez.com
Le 15/01/2013 à 12:18
Oracle publie un correctif d’urgence pour la faille zero-day dans Java
les experts en sécurité, sceptiques, maintiennent la désactivation du plugin

Oracle a publié un correctif d’urgence pour la faille de sécurité dans Java, activement exploitée par les pirates.

La mise à jour Java 7 Update 11 apporte des correctifs pour les vulnérabilités étiquetées CVE-2013-0422 et CVE-2012-3174.

La faille CVE-2013-0422, dont le code des instructions permettant de l’exploiter a déjà été implémenté dans deux kits de piratage, permet après la visite d’un site web compromis, d’exécuter du code arbitraire à distance et d'installer des applications malveillantes sur le poste d’un utilisateur.

La vulnérabilité CVE-2012-3174, quant à elle, peut également être exploitée à distance via le plugin Java s’exécutant dans le navigateur, en incitant les utilisateurs à naviguer sur un site Web malveillant.

Java 7u11 modifie également la politique de sécurité par défaut du plugin Java, de sorte que dorénavant, les applets non signés devraient toujours générer un message d’avertissement à l’utilisateur avant d’être exécutés.

Oracle recommande l’application immédiate de cette mise à jour. La société estime également que les utilisateurs ayant désactivé le plugin Java peuvent l’activer à nouveau.

Sauf que, les experts en sécurité, presque à l’unanimité, suggèrent de maintenir le plugin Java bloqué. « C’est bien qu’Oracle ait fixé cette vulnérabilité rapidement », écrit l’expert en sécurité Brian Krebs dans un billet de blog. « Mais, je vais continuer à conseiller aux utilisateurs de désactiver Java s’ils ne l’utilisent pas ».

HB Moore, le créateur du kit de piratage Metasploit, estime qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.

Il est clair qu'Oracle devra attendre longtemps avant de restaurer la confiance secouée en la fiabilité du plug-in Java.

Télécharger Java 7 Update 11

Source : Oracle, Reuters, Krebs On Security
4  0 
Avatar de Laurent.B
Rédacteur/Modérateur https://www.developpez.com
Le 12/01/2013 à 10:44
Citation Envoyé par olivier.pitton Voir le message
Je ne pense pas que le réel problème vienne de Java, mais simplement de la façon dont on annonce la news, si je puis dire.
La façon dont est annoncée la news traduit simplement le fait, à mon sens, que l'on aimerait bien qu'Oracle prenne ce genre de problème au sérieux et réagisse plus vite que ce qu'ils ne l'ont fait jusqu'à maintenant...

Car même si pour beaucoup je pense, on se passe en général aisément du plug-in Java dans le navigateur (personnellement il est assez rare que j'en ai besoin, ah si pour les impôts tiens), ceux qui en ont besoin plus régulièrement doivent être agacés (si tant est qu'ils connaissent l'existence du problème), d'avoir à l'activer ou le désactiver, selon les sites qu'ils visitent. Et pour ceux qui ignoreraient l'existence du problème c'est encore pire. Donc, oui, je pense qu'il y a matière à être volontairement alarmiste, tu ne crois pas ? Ca ne donne pas forcément une bonne image au produit concerné, c'est sûr, mais si ça peut contribuer à faire bouger les choses rapidement, dans ce genre de cas, je dirais que c'est un moindre mal.
3  1 
Avatar de Philippe Bastiani
Membre éprouvé https://www.developpez.com
Le 21/01/2013 à 19:54
Moi ce que je note c'est le regain d'intéret pour Java
- des cabinets de sécurité,
- des pirates et hackers.
malgré le manque d'intéret des applets dans le monde des développeurs !
Est-ce le fait que derrière Java, il y ait Oracle ? Enfin, bon... sans vouloir défendre Oracle, je ne pense pas que les versions antérieures de Java étaient mieux sécurisées ! Il faut donc espérer, que ces découvertes à répétition sensibilisent Oracle sur le process à mettre en place...

Franchement, vous en rencontrez souvant des sites nécessitant l'extension Java des navigateurs Internet? A si... les impots !
Perso, je me sens bien plus concerné par les failles de ces navigateurs ou celles de nos OS...

a+
Philippe
3  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 21/01/2013 à 22:14
C'est clair que ça ne donne pas une image géniale. A une époque, on pouvait installer java sans installer le plugin :/

Maintenant par rapport à .NEt, je ne veux pas être méchant, mais aucun plugin pour .net dans les navigateurs que je sache et en ce qui concerne silverlight .... Je ne connait pas grand monde qui l'installe
3  1 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web