Oracle sort un correctif d'urgence pour la faille Java
Les experts en sécurité sceptiques, maintiennent la désactivation du plugin

Le , par Hinault Romaric

0PARTAGES

4  0 
Oracle a publié un correctif d’urgence pour la faille de sécurité dans Java, activement exploitée par les pirates.

La mise à jour Java 7 Update 11 apporte des correctifs pour les vulnérabilités étiquetées CVE-2013-0422 et CVE-2012-3174.

La faille CVE-2013-0422, dont le code des instructions permettant de l’exploiter a déjà été implémenté dans deux kits de piratage, permet après la visite d’un site web compromis, d’exécuter du code arbitraire à distance et d'installer des applications malveillantes sur le poste d’un utilisateur.

La vulnérabilité CVE-2012-3174, quant à elle, peut également être exploitée à distance via le plugin Java s’exécutant dans le navigateur, en incitant les utilisateurs à naviguer sur un site Web malveillant.

Java 7u11 modifie également la politique de sécurité par défaut du plugin Java, de sorte que dorénavant, les applets non signés devraient toujours générer un message d’avertissement à l’utilisateur avant d’être exécutés.

Oracle recommande l’application immédiate de cette mise à jour. La société estime également que les utilisateurs ayant désactivé le plugin Java peuvent l’activer à nouveau.

Sauf que, les experts en sécurité, presque à l’unanimité, suggèrent de maintenir le plugin Java bloqué. « C’est bien qu’Oracle ait fixé cette vulnérabilité rapidement », écrit l’expert en sécurité Brian Krebs dans un billet de blog. « Mais, je vais continuer à conseiller aux utilisateurs de désactiver Java s’ils ne l’utilisent pas ».

HB Moore, le créateur du kit de piratage Metasploit, estime qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.

Il est clair qu'Oracle devra attendre longtemps avant de restaurer la confiance secouée en la fiabilité du plug-in Java.

Télécharger Java 7 Update 11

Source : Oracle, Reuters, Krebs On Security

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de arkhamon
Membre éprouvé https://www.developpez.com
Le 18/01/2013 à 10:37
Tout ceci illustre une constante en technologie : plus on permet à un système de faire des tâches différentes et complexes, plus on génère soi mpeme les futurs problèmes de sécurité et/ou de fiabilité. Ca s'applique aux voitures dont le freinage est piloté par un ordinateur, aux avions dont la vitesse est régulée par une sonde qui peut congeler, aux régrigérateurs pilotés par CI, aux chauffages pilotés par thermostat radio et j'en passe...

Après, en phase 2, il y a la comm... Et là, on se met à la merci d'une bonne campagne de pub qui est capable de dégommer un produit. Et puis une faille de sécurité "Critique" c'est quoi ?
Avatar de AsteroHache
Nouveau Candidat au Club https://www.developpez.com
Le 18/01/2013 à 11:02
Bonjour le fofo
Le souci avec ce plug-in, c'est que les failles réapparaissent aussi vite qu'elles sont comblées...

Bravo aux pirates dans cette affaire, non pas pour leur intention, mais plutôt pour leurs compétences.

Oracle va devoir embaucher quelques uns d'entre eux...
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 18/01/2013 à 11:27
Le security manager est pourri dans Oracle, depuis des années, depuis le début de java en fait, on distribue la même jvm pour exécute du code sur le desktop que pour exécuter du code sur le browser. Ce qu'il faudrait, ce serait un code séparé pour les applet qui n'aurait pas accès au système, non pas parce que le security manager l'en empeche, mais parce que les classes indispensable pour ouvrir les fichiers / exécuter des applications tierces / charger des librairies tierces n'existeraient pas.

Mais ça veux dire casser pas mal d'applets existantes en entreprise
Avatar de arkhamon
Membre éprouvé https://www.developpez.com
Le 18/01/2013 à 11:57
Citation Envoyé par tchize_ Voir le message
Le security manager est pourri dans Oracle, depuis des années, depuis le début de java en fait, on distribue la même jvm pour exécute du code sur le desktop que pour exécuter du code sur le browser. Ce qu'il faudrait, ce serait un code séparé pour les applet qui n'aurait pas accès au système, non pas parce que le security manager l'en empeche, mais parce que les classes indispensable pour ouvrir les fichiers / exécuter des applications tierces / charger des librairies tierces n'existeraient pas.

Mais ça veux dire casser pas mal d'applets existantes en entreprise
Je pense en effet qu'on ne peut plus trop retourner en arrière pour sécuriser la VM. Le problème d'une VM, c'est que justement on lui ouvre des droits par défaut importants pour lui permettre d'exécuter sans restictions les applis. Le problème se situe maintenant dans l'énorme palette de choses qu'une appli doit être capable d'exécuter.
Si on prend l'exemple de l'aPI "fermée" de l'iPhone, on est dans le cas inverse : aucune appli ne peut bricoler ce qu'elle veut dans l'IOS. En contrepartie de cette sécurité de fonctionnement, il y a des restrictions.

Il existe une constante qui s'exprime ainsi :

Sécurité x versatilité = 1.

Donc si on bouge l'un, c'est au détriment de l'autre. Après il suffit de se poser al question : lequel des deux je veux prioriser. Et ensuite, avoir l'honnêteté de reconnaitre que ça sera au détriment de l'autre.

"A vouloir tout faire, on fait tout mal"...
Avatar de Hinault Romaric
Responsable .NET https://www.developpez.com
Le 21/01/2013 à 15:59
Java : découverte de deux nouvelles failles dans le correctif d’urgence d’Oracle
la qualité du code inquiétante pour Security Explorations

Une semaine à peine après la sortie du correctif de sécurité d’urgence Java 7u11, les experts en sécurité découvrent de nouvelles failles dans la plateforme de développement.




Le cabinet de sécurité Polonais Security Explorations vient de publier un nouveau bulletin de sécurité sur deux nouvelles vulnérabilités dans Java 7u11, pouvant être exploitées pour contourner la sécurité du sandbox pour exécuter du code arbitraire sur les postes affectés.

Pour l’instant, cette vulnérabilité ne serait pas encore activement exploitée. Security Explorations a déclaré qu’il n’avait découvert aucun exploit reposant sur cette faille. Mais, pour combien de temps ?

Les détails sur le problème ainsi qu’une preuve de réalisation ont été transmis à Oracle. Security Explorations s’est abstenu de les divulguer publiquement afin de limiter les risques.




Face à la recrudescence des failles dans Java, le PDG de Security Explorations, Adam Gowdiak, estime qu’il y a « clairement quelque chose d’inquiétant dans la qualité du code de Java 7 SE », avant d’ajouter que c’est certainement la conséquence du manque d’un cycle de développement axé sur la sécurité (Secure Development Lifecycle).

HB Moore, le créateur du kit de piratage Metasploit, pense, pour sa part, qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.

Néanmoins, les risques de ces failles peuvent être atténués par Java 7u11, qui introduit une nouveauté permettant de générer un message d’avertissement avant d’exécuter un Applet non signé.

Le cabinet de sécurité Trend Micro note cependant la circulation des fausses versions de cette mise à jour qui permettent d’installer des backdoor sur le poste des utilisateurs. Il est donc conseillé de télécharger cette mise à jour sur le site d’Oracle.

Les experts en sécurité suggèrent de toujours maintenir le plugin Java bloqué, ou de complètement désinstaller la plateforme pour les personnes qui ne l’utilisent pas.

Source : Full Disclosure, Trend Micro
Avatar de Philippe Bastiani
Membre éprouvé https://www.developpez.com
Le 21/01/2013 à 19:54
Moi ce que je note c'est le regain d'intéret pour Java
- des cabinets de sécurité,
- des pirates et hackers.
malgré le manque d'intéret des applets dans le monde des développeurs !
Est-ce le fait que derrière Java, il y ait Oracle ? Enfin, bon... sans vouloir défendre Oracle, je ne pense pas que les versions antérieures de Java étaient mieux sécurisées ! Il faut donc espérer, que ces découvertes à répétition sensibilisent Oracle sur le process à mettre en place...

Franchement, vous en rencontrez souvant des sites nécessitant l'extension Java des navigateurs Internet? A si... les impots !
Perso, je me sens bien plus concerné par les failles de ces navigateurs ou celles de nos OS...

a+
Philippe
Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 21/01/2013 à 22:06
J'ai l'impression que j'ai fait une bonne opération en délaissant Java pour .NET.

A ce rythme, Java risque de devenir minoritaire. Déja dans plusieurs boîtes de consulting, Java passe derrière .NET et PHP !

Depuis qu'Oracle a repris les rênes, je trouve justement que Java va mal.
J'ai l'impression qu'ils ont mis les sous, mais pas le savoir faire qui va avec.
Enfin c'est souvent le cas chez les grosses boîtes, qui s'intéressent plus à l'argent qu'à la qualité.
Ca pose des questions quand à la qualité général de code d'Oracle.

C'est dangereux à la fois pour les clients mais également pour le marché, qui risque de délaisser Java et mettre pleins de gens au chômage (sans compter les écoles qui devront changer leur programmes/enseignants). Les développeurs .NET y gagneront par contre (migrations massives d'applications d'entreprises).
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 21/01/2013 à 22:14
C'est clair que ça ne donne pas une image géniale. A une époque, on pouvait installer java sans installer le plugin :/

Maintenant par rapport à .NEt, je ne veux pas être méchant, mais aucun plugin pour .net dans les navigateurs que je sache et en ce qui concerne silverlight .... Je ne connait pas grand monde qui l'installe
Avatar de LSMetag
Expert confirmé https://www.developpez.com
Le 21/01/2013 à 22:25
Silverlight était bien, mais il ne faisait pas le poids face à l'implantation de Flash, ou à la gratuité et standardisation du HTML5.

Mais sinon tu as aussi les applis XBAP qui peuvent aussi se lancer dans un navigateur.
Avatar de Philippe Bastiani
Membre éprouvé https://www.developpez.com
Le 21/01/2013 à 22:54
Citation Envoyé par LSMetag Voir le message
J'ai l'impression que j'ai fait une bonne opération en délaissant Java pour .NET.
Quel est le rapport avec dotnet ? Il y a beaucoup, d'amalgame dans les news depuis 6 mois, mais ici on parle d'un plugin pour navigateur et non pas de Java ! Java ne se réduit pas à ce plugin fort heureusement... Qui plus est: un plugin inutile pour 99.99% des utilisateurs de l'Internet... Après celà fait tâche c'est clair Mais je ne vois pas, dans ces annonces de failles, ce qui pourrait remettre en cause les fondements de JavaSE et JavaEE. Pourtant, il doit bien y en avoir de bien bonnes...

Comme dit plus haut, moi c'est tous les mois, le nombre de patches dotnet, windows, IE, office de sécurité qui s'installent sur mon poste que je suis de près sans les voir diminuer... et , pourtant Microsoft à fait des nets progrès sur le sujet tant en communication qu'en réactivité !

A+
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web