IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Java : découverte de deux nouvelles failles dans le correctif d'Oracle
La qualité du code inquiétante pour Security Explorations

Le , par Hinault Romaric

27PARTAGES

3  0 
Une semaine à peine après la sortie du correctif de sécurité d’urgence Java 7u11, les experts en sécurité découvrent de nouvelles failles dans la plateforme de développement.




Le cabinet de sécurité Polonais Security Explorations vient de publier un nouveau bulletin de sécurité sur deux nouvelles vulnérabilités dans Java 7u11, pouvant être exploitées pour contourner la sécurité du sandbox pour exécuter du code arbitraire sur les postes affectés.

Pour l’instant, cette vulnérabilité ne serait pas encore activement exploitée. Security Explorations a déclaré qu’il n’avait découvert aucun exploit reposant sur cette faille. Mais, pour combien de temps ?

Les détails sur le problème ainsi qu’une preuve de réalisation ont été transmis à Oracle. Security Explorations s’est abstenu de les divulguer publiquement afin de limiter les risques.




Face à la recrudescence des failles dans Java, le PDG de Security Explorations, Adam Gowdiak, estime qu’il y a « clairement quelque chose d’inquiétant dans la qualité du code de Java 7 SE », avant d’ajouter que c’est certainement la conséquence du manque d’un cycle de développement axé sur la sécurité (Secure Development Lifecycle).

HB Moore, le créateur du kit de piratage Metasploit, pense, pour sa part, qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.

Néanmoins, les risques de ces failles peuvent être atténués par Java 7u11, qui introduit une nouveauté permettant de générer un message d’avertissement avant d’exécuter un Applet non signé.

Le cabinet de sécurité Trend Micro note cependant la circulation des fausses versions de cette mise à jour qui permettent d’installer des backdoor sur le poste des utilisateurs. Il est donc conseillé de télécharger cette mise à jour sur le site d’Oracle.

Les experts en sécurité suggèrent de toujours maintenir le plugin Java bloqué, ou de complètement désinstaller la plateforme pour les personnes qui ne l’utilisent pas.

Source : Full Disclosure, Trend Micro

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Philippe Bastiani
Membre éprouvé https://www.developpez.com
Le 21/01/2013 à 22:54
Citation Envoyé par LSMetag Voir le message
J'ai l'impression que j'ai fait une bonne opération en délaissant Java pour .NET.
Quel est le rapport avec dotnet ? Il y a beaucoup, d'amalgame dans les news depuis 6 mois, mais ici on parle d'un plugin pour navigateur et non pas de Java ! Java ne se réduit pas à ce plugin fort heureusement... Qui plus est: un plugin inutile pour 99.99% des utilisateurs de l'Internet... Après celà fait tâche c'est clair Mais je ne vois pas, dans ces annonces de failles, ce qui pourrait remettre en cause les fondements de JavaSE et JavaEE. Pourtant, il doit bien y en avoir de bien bonnes...

Comme dit plus haut, moi c'est tous les mois, le nombre de patches dotnet, windows, IE, office de sécurité qui s'installent sur mon poste que je suis de près sans les voir diminuer... et , pourtant Microsoft à fait des nets progrès sur le sujet tant en communication qu'en réactivité !

A+
13  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 20/03/2013 à 13:01
Sauf que pour utiliser JNA, il faut avoir donner l'autorisation d’exécuter du code Java non sécurisé. Donc cette société enfonce une porte ouverte, a moins qu'elle ait trouvé un moyen d'utiliser JNA depuis la sandbox, ce qui ne semble pas être le cas.
Si Lexsi viens de découvrir que Java permet de faire appel à du code natif, je m'inquiète vraiment de leur sérieux et je ne leur confierais certainement pas la moindre mission de sécurité.

Citation Envoyé par Stéphane le calme
Désactiver la JNA serait-il une solution aux problèmes causés par les failles de sécurité ?
La question n'a pas vraiment de sens.
JNA ne fait pas partie de Java et n'est pas désactivable. C'est juste une bibliothèque native que l'on peux ajouter à son application comme le sont SWT, LWJGL, ...
Et comme il s'agit d'une bibliothèque native elle n'est de toute façon pas utilisable dans un applet si on n'a pas préalablement diminué la sécurité.
5  0 
Avatar de Philippe Bastiani
Membre éprouvé https://www.developpez.com
Le 21/01/2013 à 19:54
Moi ce que je note c'est le regain d'intéret pour Java
- des cabinets de sécurité,
- des pirates et hackers.
malgré le manque d'intéret des applets dans le monde des développeurs !
Est-ce le fait que derrière Java, il y ait Oracle ? Enfin, bon... sans vouloir défendre Oracle, je ne pense pas que les versions antérieures de Java étaient mieux sécurisées ! Il faut donc espérer, que ces découvertes à répétition sensibilisent Oracle sur le process à mettre en place...

Franchement, vous en rencontrez souvant des sites nécessitant l'extension Java des navigateurs Internet? A si... les impots !
Perso, je me sens bien plus concerné par les failles de ces navigateurs ou celles de nos OS...

a+
Philippe
3  0 
Avatar de Grimly_old
Membre averti https://www.developpez.com
Le 22/01/2013 à 10:36
/popcorn

C'est marrant de voir de plus en plus de sujets sur des failles Java alors que les seules applications java que je sais être utilisé quotidiennement sont les serveurs web (Glassfish, Tomcat, Netty...) en entreprise et Minecraft (c'est bien la seule raison pour laquelle mes frères ont java sur leur PC). Quand bien même Minecraft existe sous forme d'applet, aucun des deux n'est soumis à ce genre de failles.

Tout est sujet à faire peur les managers et promouvoir un changement de technologie pour au final aucun apport et un coût bien plus important parce qu'il faut former les développeurs.

Même une application utilisant le bien critiqué trio Apache/PHP/MySQL peux être sécurisé ! Si des développeurs savent le faire alors qu'on les laisse faire au lieu de leur forcer à utiliser des technos dont ils peuvent ignorer certaines failles éventuelles.
3  0 
Avatar de Deadpool
Membre chevronné https://www.developpez.com
Le 22/01/2013 à 14:06
Citation Envoyé par bruneltouopi Voir le message
Il faudrait d'abord axer le developpement sur le coté sécurité de java.Et depuis que Oracle a acheté SUN on dirait qu'il y'a plus vraiment une politique accrue sur java.
On parle de java 8 pour palier à certaines failles de sécurité mais déjà java 7 ça explosera entre les mains.
Malgré cela java demeures un des langages les plus utilisés surtout avec les Os mobiles tels que Android.
Android ne s'appuie pas sur la jvm d'Oracle.

Citation Envoyé par skypers Voir le message
Ahah c’est tellement génial de voir le nombre de failles découvertes s’accroître et de voir les « pro-Java » chercher des excuses bidons pour continuer à prôner ce « langage » comme une révolution multiplateforme, ou une connerie dans le genre.

Au moins, bien que ce langage soit pourri de A à Z, il me fait bien rire
Il ne faut pas confondre le langage et la plateforme.

Là en l'occurrence, c'est la plateforme qui a des failles.
3  0 
Avatar de Uther
Expert éminent sénior https://www.developpez.com
Le 23/01/2013 à 8:46
Citation Envoyé par Lutarez Voir le message
Pour continuer dans le hors-sujet, après je file : ne pas oubliez Mono ! L'air de rien, il continue à faire son chemin et fait tourner certaines applications assez populaires dans leurs domaines...
Mono comme Wine sont des projets colossaux réalisé très sérieusement mais qui ne pourront jamais être considérés sérieusement car ils sont condamnés a courir derrière Microsoft qui reste seul maitre de ses API et continue de les faire évoluer.
3  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 21/01/2013 à 22:14
C'est clair que ça ne donne pas une image géniale. A une époque, on pouvait installer java sans installer le plugin :/

Maintenant par rapport à .NEt, je ne veux pas être méchant, mais aucun plugin pour .net dans les navigateurs que je sache et en ce qui concerne silverlight .... Je ne connait pas grand monde qui l'installe
3  1 
Avatar de hn2k5
Membre éclairé https://www.developpez.com
Le 22/01/2013 à 10:59
Java minoritaire, il faut pas trop s'enflammer tout de même.
Quasiment tous les smartphones, hormis les produits Apple je crois, tournent avec Java.
Moi, je suis pas prêt d'arrêter d'en faire du Java. Car vu l'inertie de la bestiole pour qui je sous traite, délaisser Java prendrait des millénaires...
Que ce soit du côté de la maintenance de l'existant (sur le parc d'avion monumental) ou des futures applications, Java a de beaux jours devant lui.
Côté portabilité, ça reste aussi une des solutions les plus flexibles quand on doit générer des livrables sur plusieurs plateformes.
Le coup de la bidouille à la compilation pour chaque cible avec du C/C++ par ex., c'est bien joli mais niveau industrialisation, quand vous devez générer votre usine à gaz pour X cibles sur X plateformes, avec X configurations particulières pour X compagnies aériennes, je peux vous dire qu'on est bien content de lancer son script ant sans se soucier de la taille des types primitifs ou des options du compilo à activer sur tel ou tel système...
Il faut aussi prendre en compte les réalités du métier. Y a pas que l'amour du code dans la vie.
:-)

Cordialement.
2  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 23/01/2013 à 0:07
Mono a des limitations nottament un sacré retard (enfin la dernière fois que j'ai regardé) par rapport à la version microsoft, et une licence pas claire (encore une fois, la dernière fois que j'y ai jeté un oeil).

Je partage grandement ton avis sur les applis desktop, surtout quand elles deviennent complexe. Le problème de la portabilité n'est pas vraiment un problème quand tu developpe des applications desktop. Comme tu le dis, une minorité d'utilisateurs, et ça ne vaut pas le coup. Y a pas mal d'app à succès sur mac os x écrites en objective C, pourtant c'est pas non plus une majorité du marché, chacun sa cible, chacun son choix et il vaut mieux se centrer sur un truc intégré à l'OS que d'être général et disons le, mal intégré. Et il y a pas mal de trucs, comme QT qui s'intègrent mieux et assurent une portabilité pour les applis desktop.

Le problème est tout autre quand tu développe des applications d'entreprise. On ne parle plus de 10 ou 15% d'utilisateurs là. Même si les desktop sont souvent du windows, les serveurs sont plus souvent dans la famille linux / unix.

Et si tu vends des applis serveur, la portabilité de java, ça deviens un bel atout Au même titre que la portabilité de python ou php par exemple. Quand t'es face à une grappe de machine avec au choix du HP-UX (beurk), du redhat ou d'autres distros sur des serveurs virtuels, le .Net n'est plus une option.

Pour ce qui est de skypers, je n'ai qu'une seul chose à dire
2  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 23/01/2013 à 23:07
Citation Envoyé par LSMetag Voir le message

La licence peut faire débat en effet, mais quand on vise du Microsoft, c'est dûr de penser que c'est "libre" ^^. Pour les entreprises qui utilisent Linux plus pour ses fonctionnalités que par philosophie du libre, je pense que ce n'est pas forcément LE problème.
Non, mais si tu développe une application en mono ou c# compatible mono, que 20 à 30% de tes clients vont le faire tourner sur du mono, tu doit inévitablement t'assurer que tu n'aura pas des emmerdes de licence dans 2 ans. Sinon tu pourrais perdre 20 à 30% de tes clients d'un coup. Ca fait mal au portefeuille et aux HR ce genre de choses.

C'est pas une question de liberté, c'est une question de t'assurer que tout ce que tu investit aujourd'hui en temps de dev, tu l'aura pas dans le cul dans 2 ans à cause d'une licence qui était pas très claire.

Sans compter le plaisir avec lequel te regardent les client quand tu leur dit qu'il va falloir installer l'armada mono sur leur serveur Au moins, java, tout peux s'installer un 30 secondes dans un espace utilisateur

La seule expérience que j'ai eu en mono, j'avais acheté un bouquin sur le C#, il y a trois ans voir plus, et je me souviens déjà que je ne suis pas arrivé à la fin du premier chapitre, la moitié des notations n'étaient pas disponibles dans mono. Mais bon, ça date. Mono 2 etait seulement dispo en beta
2  0