Les utilisateurs de Java 6 s'exposent à un exploit zero day
Les experts recommandent de migrer vers Java 7

Le , par Stéphane le calme, Chroniqueur Actualités
De nombreux experts en sécurité s’accordent à dire que les entreprises devraient migrer vers Java 7. En effet, Timo Hirvonen, analyste senior chez F-Secure, a reporté que le code d’un exploit d’une vulnérabilité précédemment corrigée a été introduit dans le kit de l’exploit Neutrino, le trojan bancaire dont l’architecture rappelle celle de Zeus. « Un hacker peut exécuter du code sur le système et l’infecter d’un malware. Vous pourriez obtenir un lien dans vos spams qui vous conduirait au kit Neutrino ou vous ferait visiter des sites infectés » confie-t-il.

La vulnérabilité CVE-2013-2463, a été corrigée en juin dernier lorsqu’Oracle a publié son plus récent Critical Patch Update pour Java 7 Update 25. Le CVE révèle la présence de la vulnérabilité dans les versions antérieures à Java SE 6 Update 45 qui permettrait aux hackers d’affecter la confidentialité, l’intégrité et la disponibilité via des vecteurs inconnus liés à 2D.

Pour Adam Gowdiak de Security Explorations, « la faille exploitée est assez sérieuse puisqu’une corruption de la mémoire peut généralement entraîner une compromission complète de la sécurité Java. ». Il rejoint la cohorte des experts qui encouragent la migration vers Java 7.

Wolfgang Kandek, le responsable technologique chez la firme de sécurité Qualys, affirme quant à lui que « dans son essence, il s’agit d’une vulnérabilité zéro day implicite mais dont nous n’avons pas le correctif sous la main. Nous observons que Java 6 est encore installé à des taux très élevés comptant pour un peu plus de la moitié des utilisateurs Java, ce qui veut dire que de nombreuses organisations sont vulnérables. Les entreprises devraient migrer vers Java 7 aussi vite que possible. »

Rappelons qu’Oracle a suspendu les mises à jour gratuites sur Java 6 ; ceux qui voudraient installer la version la plus récente Java 6 Update 51 vont donc devoir mettre la main à la poche.

Sources : blog Qualys, Oracle, CVE

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Spleeen Spleeen - Membre du Club https://www.developpez.com
le 31/08/2013 à 7:12
Et la migration vers un autre langage c'est pour quand ?
Avatar de LSMetag LSMetag - Membre expert https://www.developpez.com
le 31/08/2013 à 7:41
Oracle est littéralement en train de couler Java... C'est malheureux.
Avatar de berceker united berceker united - Expert confirmé https://www.developpez.com
le 31/08/2013 à 14:35
Désinstallé depuis quelque mois vu que j'en ai clairement pas l'utilité. Trop de problème de ce genre. Pourquoi garder une VM ayant éventuellement des problèmes de sécurité si vous ne l'utilisez pas.
Avatar de nacrotic nacrotic - Nouveau membre du Club https://www.developpez.com
le 31/08/2013 à 15:44
Apres open Office, Oracle s'efforce de faire couler Java ... et ils sont sur la bonne voie. Apres on passe à MySQL ?
Avatar de guillaume07 guillaume07 - Débutant https://www.developpez.com
le 31/08/2013 à 16:26
c++ et c# s'impose désormais comme les deux seuls langage mainstream
Avatar de ryann ryann - Nouveau Candidat au Club https://www.developpez.com
le 31/08/2013 à 16:53
Est-ce que toutes ces failles existaient avant 2009 et le rachat de Sun par Oracle ?

Et est-ce qu'elles ont pu être exploitées en toute impunité pendant toutes ces années ?

En gros, est-ce qu'il y a des configurations à risque - os + navigateurs.
Avatar de LSMetag LSMetag - Membre expert https://www.developpez.com
le 31/08/2013 à 17:00
Citation Envoyé par guillaume07  Voir le message
c++ et c# s'impose désormais comme les deux seuls langage mainstream

N'oublie pas PHP non plus ^^.

Mais c'est vrai que depuis l'aquisition par Oracle, on assiste à un enchaînement de failles de sécurité, à un manque d'écoute des développeurs, et une politique commerciale sur un langage à la base libre et open source.

De quoi définitivement écarter le développeur que je suis de Java, que j'utilisais encore il n'y a pas si longtemps.

Avec .NET, certes on paye (et encore, pas forcément en utilisant les version Express des IDE ou SharpDevelop), mais la qualité de service est là.

Sur Java, depuis Oracle, on a l'impression d'avoir un travail d'amateurs arrogants. Et comme Java a été industrialisé, les cycles de développement ont été rigidifiés. "Une faille critique 0 days exploitée ? Bon ben on va voir si ça tient dans le planning de la prochaine version qui sort dans 3 mois..."
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 31/08/2013 à 17:04
Citation Envoyé par Spleeen  Voir le message
Et la migration vers un autre langage c'est pour quand ?

Citation Envoyé par guillaume07  Voir le message
c++ et c# s'impose désormais comme les deux seuls langage mainstream

Ces remarques n'ont pas de sens.

C'est l'utilisation de java sous forme d'applet ou des outils similaires comme Java Web Start qui pose problème. Ce n'est juste pas comparable à d'autres langages, vu qu'ils ne permettent pas de faire l'équivalent.
En tant que langage de programmation, Java n'est pas moins sur à programmer que le C# et il l'est beaucoup plus que C++.

Enfin, de ce que je peux constater, Java n'est clairement pas en voie de disparition bien au contraire.
Avatar de icexplorer icexplorer - Membre habitué https://www.developpez.com
le 01/09/2013 à 12:51
Ces remarques n'ont pas de sens.

C'est l'utilisation de java sous forme d'applet ou des outils similaires comme Java Web Start qui pose problème. Ce n'est juste pas comparable à d'autres langages, vu qu'ils ne permettent pas de faire l'équivalent.
En tant que langage de programmation, Java n'est pas moins sur à programmer que le C# et il l'est beaucoup plus que C++.

Enfin, de ce que je peux constater, Java n'est clairement pas en voie de disparition bien au contraire.

Je plussoie, d'autant plus qu'actuellement le java se dirige de plus en plus pour les développements côté serveur (les clients légers on en voit de moins en moins, les applets n'en parlons pas).

Sinon conseil pour les étudiants, avant de dire des anneries allez faire un tour du côté des offres d'emploi pour constater quels sont les langages "mainstream"...
Avatar de LSMetag LSMetag - Membre expert https://www.developpez.com
le 01/09/2013 à 19:09
Citation Envoyé par Uther  Voir le message
Ces remarques n'ont pas de sens.

C'est l'utilisation de java sous forme d'applet ou des outils similaires comme Java Web Start qui pose problème. Ce n'est juste pas comparable à d'autres langages, vu qu'ils ne permettent pas de faire l'équivalent.
En tant que langage de programmation, Java n'est pas moins sur à programmer que le C# et il l'est beaucoup plus que C++.

Enfin, de ce que je peux constater, Java n'est clairement pas en voie de disparition bien au contraire.

Cessons un peu la mauvaise foi. Vous dites souvent "oui mais ça ne concerne que les applets et JWS" ou "Java n'est pas fait pour faire du web".

Je regrette mais si Oracle multiplie les failles de sécurité dans des outils que Java propose depuis longtemps, il n'a pas d'excuse. Java a des outils pour le Web qui sont susceptibles d'être utilisés puisque disponibles. Il n'y a que vous qui décrétez que Java n'est pas fait pour faire du Web, pas ses développeurs.

De nombreux sites sont pourvus d'Applets (JWS est plus rare). Et pendant qu'Oracle respecte tranquillement ses cycles de développement, beaucoup d'Applets sont consultées. Parfois des failles signalées plus d'un an plus tôt ne sont toujours pas à l'ordre du jour niveau correction.

En .NET, on a l'équivalent avec WPF, qui permet de faire des sortes d'applets, et le défunt Silverlight. Pour des outils similaires, on a beaucoup moins de failles signalées. Après est-ce parce que les experts ne se concentrent que sur Java ? Et concernant Javascript, les failles proviennent du développeur.

Expliquez-moi pourquoi Oracle a décidé de retarder Java 8 d'un an pour corriger Java 7 ? N'est-ce pas un aveu d'erreur ?

Avant le rachat de Sun par Oracle, on entendait peu parler de problèmes de sécurité. Avec Java 7 et la fin de Java 6, ça a été l'explosion.
Offres d'emploi IT
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil