Oracle sort Java 7u13
Un correctif d'urgence pour 50 failles de sécurité, dont 26 critiques
Le 2013-02-05 10:50:10, par Hinault Romaric, Responsable .NET
Mise à jour du 05/02/2013
Oracle s’était engagé il y a quelques jours à corriger Java et à mieux communiquer sur la plateforme de développement.
Alliant l’acte à la parole, l’éditeur vient de publier un correctif d’urgence pour les failles de sécurité qui ont secoué l’écosystème Java ces derniers mois.
Java 7 update 13 apporte des patchs pour environ une cinquantaine de vulnérabilités, dont 26 sont classées critiques. Elles peuvent être exploitées pour exécuter du code arbitraire à distance et installer des applications malveillantes sur le poste d’un utilisateur.
Le correctif était initialement prévu pour le 19 février, mais Oracle a dû rompre avec son cycle de mise à jour habituel parce que l’une des failles était activement exploitée.
Quarante-quatre des failles sont exploitables via des applets Java ou des applications Java Web Start s’exécutant dans le navigateur. Une vulnérabilité affecte le processus de déploiement du client Java. Trois failles touchent à la fois Java côté client et serveur.
Oracle recommande l’application immédiate de cette mise à jour importante. Il est conseillé aux personnes n’utilisant pas le plug-in Java dans le navigateur de le maintenir désactivé.
Télécharger Java 7u13
Source : Oracle
Oracle s’était engagé il y a quelques jours à corriger Java et à mieux communiquer sur la plateforme de développement.
Alliant l’acte à la parole, l’éditeur vient de publier un correctif d’urgence pour les failles de sécurité qui ont secoué l’écosystème Java ces derniers mois.
Java 7 update 13 apporte des patchs pour environ une cinquantaine de vulnérabilités, dont 26 sont classées critiques. Elles peuvent être exploitées pour exécuter du code arbitraire à distance et installer des applications malveillantes sur le poste d’un utilisateur.
Le correctif était initialement prévu pour le 19 février, mais Oracle a dû rompre avec son cycle de mise à jour habituel parce que l’une des failles était activement exploitée.
Quarante-quatre des failles sont exploitables via des applets Java ou des applications Java Web Start s’exécutant dans le navigateur. Une vulnérabilité affecte le processus de déploiement du client Java. Trois failles touchent à la fois Java côté client et serveur.
Oracle recommande l’application immédiate de cette mise à jour importante. Il est conseillé aux personnes n’utilisant pas le plug-in Java dans le navigateur de le maintenir désactivé.
Source : Oracle
-
UtherExpert éminent séniorSauf que pour utiliser JNA, il faut avoir donner l'autorisation d’exécuter du code Java non sécurisé. Donc cette société enfonce une porte ouverte, a moins qu'elle ait trouvé un moyen d'utiliser JNA depuis la sandbox, ce qui ne semble pas être le cas.
Si Lexsi viens de découvrir que Java permet de faire appel à du code natif, je m'inquiète vraiment de leur sérieux et je ne leur confierais certainement pas la moindre mission de sécurité.Envoyé par Stéphane le calme
JNA ne fait pas partie de Java et n'est pas désactivable. C'est juste une bibliothèque native que l'on peux ajouter à son application comme le sont SWT, LWJGL, ...
Et comme il s'agit d'une bibliothèque native elle n'est de toute façon pas utilisable dans un applet si on n'a pas préalablement diminué la sécurité.le 20/03/2013 à 13:01 -
la.luneMembre chevronnéUne heure après la publication de cet article Oracle a publié une mise à jour de sécurité, le Java 1.7 update 17. Mais cet article on se réfère d'une source qui parle de de java 1.7 update 15, donc une version avant l'avant-dernière version. L'essentiel mettez à jour vos systèmes.
http://www.oracle.com/technetwork/java/javase/downloads/index.html
A vrai dire si oracle continue dans ce sens il pourra sans doute colmater tous les fuites sur la sécurité dont sa machine virtuelle est exposé.le 05/03/2013 à 0:47 -
wax78Modérateurle 06/03/2013 à 11:03
-
UtherExpert éminent séniorLes organismes de certification ne font que garantir l'identité de la personne, pas son honnêteté. A la limite ça permet à la justice de remonter à l'adresse de la personne mais je pense que même ça, ça doit être facile a falsifier.
Et si le pirate te vole tes données personnelles, légalement en mettant une clause planquée au milieu de conditions d'utilisations interminable, il n'y a juste rien à faire.le 21/03/2013 à 17:12 -
tchize_Expert éminent séniorQuelqu'un a des détails là dessus, j'ai besoin de savoir si il est nécessaire d'upgrader nos serveurs ou si les vecteurs en question ne nous concernent pas.le 05/02/2013 à 14:09
-
tchize_Expert éminent séniorHohoho
J-1 avant de voir les forums à nouveau envahis de "je déteste oracle qui désinstalle java sans prévenir" le 26/02/2013 à 22:19 -
Philippe BastianiMembre éprouvéL'update 15 c'était le 19 février ! Mais, IMHO, la.lune faisait référence a ton lien Reuters qui date du 14 Janvier !
Il n'en reste pas moins qu'Oracle semble désormais réagir rapidement !
a+
Philippele 06/03/2013 à 10:39 -
Philippe BastianiMembre éprouvéC'est clair hier le patch était déjà à disposition
Sur quoi tu te bases pour dire que les deux failles étaient connues par Oracle depuis longtemps ? De son côté Oracle indique que les problèmes lui ont été remontées début février ! Tu aurais souhaité qu'ils retardent la sortie du patch 15 qui corrigeait des failles dites activement exploitées ?
a+
Philippele 06/03/2013 à 14:06 -
bouyeRédacteur/ModérateurA partir de Java 1.7.0 u21 (prévu pour être publié en avril), les Applets devront être signées (par un certificat reconnu par une autorité) pour s'exécuter dans le navigateur de manière "confortable" pour l'utilisateur (oui je sais ce n'est pas très clair comme terme).
Si j'ai bien compris la FAQ en bas de l'article, les Applets non-signées afficheront un nombre plus important de boites de dialogues de sécurité et l'utilisateur pourra plus facilement terminer l'exécution d'un programme en cas de comportement dangereux.
De plus Oracle se réserver le droit de restreindre encore plus le mode d'exécution des applet "self-signed" (avec un certificat temporaire généré par le developpeur lui-même) ou non-signées dans les mises à jour suivantes.Envoyé par http://www.oracle.com/technetwork/java/javase/tech/java-code-signing-1915323.html le 13/03/2013 à 12:06 -
SharcouxMembre avertiOui, surtout que je ne suis pas sûr de qui s'intéresse le plus à tes données personnelles entre les petits développeurs indépendants et les riches entreprises de développement qui auront le certificat...
Après, si l'organisme de certification fait bien son travail, ça devrait quand même permettre à l'utilisateur de cerner à quel "degré" de danger il s'expose, non?le 21/03/2013 à 16:43