Une faille de Java SE permet d'accéder à distance à Windows, Solaris, Linux, et OS X sans authentification,
Un correctif d'urgence est disponible
Le 2016-03-24 20:17:10, par Olivier Famien, Chroniqueur Actualités
Oracle vient de sortir en urgence un patch afin de corriger une faille présente sur son plug-in Java SE fonctionnant sur les navigateurs. Selon les explications de la firme, « cette vulnérabilité peut être exploitée à distance sans authentification », notamment sur un réseau sans avoir besoin d’utiliser des identifiants tels que le nom d’utilisateur ou le mot de passe de l’utilisateur.
Pour que cette faille soit exploitée avec succès, ajoute l’éditeur, « un utilisateur non averti exécutant une version [de Java SE] dans un navigateur devra visiter une page web infectée qui exploite cette vulnérabilité ». Et si un tel cas de figure se produisait, cette personne exposerait « la disponibilité, l’intégrité et la confidentialité de son système ».
Les versions du plug-in affectées par cette faille sont Java SE 7 Update 97, Java SE 8 Update 73 et Java SE Update 74 pour les systèmes d’exploitation Windows, Solaris, Linux, et Mac OS X.
La faille a été référencée sous le code CVE-2016-0636 et vu sa sévérité, il lui a été assigné le score de 9.3 selon le système d’évaluation des vulnérabilités CVSS (Common Vulnerability Scoring System).
Toutefois, cette faille ne s’adresse pas aux déploiements de Java sur les serveurs ou les applications autonomes pour poste de travail, car ces derniers chargent et exécutent du code de confiance uniquement. Non plus elle n’affecte pas les logiciels basés sur les serveurs d’Oracle.
Oracle recommande d’appliquer urgemment le correctif disponible depuis quelques heures. Par ailleurs, même si un patch est disponible, cet épisode ne ferait que renforcer davantage la réputation de plug-in poreux soutenu par plusieurs. À ce sujet, il est sans doute inutile de rappeler des études conduites dans le domaine de la sécurité et qui placent Java en tête de liste parmi les programmes les plus exposés. Le plug-in Flash étant de moins en moins utilisé, il parait évident que les tiers malveillants n'hésiteront pas à se tourner vers ce dernier.
Aussi, même s’il faut s’attendre à des failles sur le plug-in Java, car la sécurité à cent pour cent n’existant pas, nous osons espérer que la réaction d’Oracle sera toujours prompte afin d’apporter des correctifs pour colmater les brèches détectées sur sa plateforme.
Source : Oracle
Et vous ?
Que pensez-vous de cette faille ? De quoi remettre en cause l’utilisation du plug-in Java ?
Voir aussi
Forum Oracle
Pour que cette faille soit exploitée avec succès, ajoute l’éditeur, « un utilisateur non averti exécutant une version [de Java SE] dans un navigateur devra visiter une page web infectée qui exploite cette vulnérabilité ». Et si un tel cas de figure se produisait, cette personne exposerait « la disponibilité, l’intégrité et la confidentialité de son système ».
Les versions du plug-in affectées par cette faille sont Java SE 7 Update 97, Java SE 8 Update 73 et Java SE Update 74 pour les systèmes d’exploitation Windows, Solaris, Linux, et Mac OS X.
La faille a été référencée sous le code CVE-2016-0636 et vu sa sévérité, il lui a été assigné le score de 9.3 selon le système d’évaluation des vulnérabilités CVSS (Common Vulnerability Scoring System).
Toutefois, cette faille ne s’adresse pas aux déploiements de Java sur les serveurs ou les applications autonomes pour poste de travail, car ces derniers chargent et exécutent du code de confiance uniquement. Non plus elle n’affecte pas les logiciels basés sur les serveurs d’Oracle.
Oracle recommande d’appliquer urgemment le correctif disponible depuis quelques heures. Par ailleurs, même si un patch est disponible, cet épisode ne ferait que renforcer davantage la réputation de plug-in poreux soutenu par plusieurs. À ce sujet, il est sans doute inutile de rappeler des études conduites dans le domaine de la sécurité et qui placent Java en tête de liste parmi les programmes les plus exposés. Le plug-in Flash étant de moins en moins utilisé, il parait évident que les tiers malveillants n'hésiteront pas à se tourner vers ce dernier.
Aussi, même s’il faut s’attendre à des failles sur le plug-in Java, car la sécurité à cent pour cent n’existant pas, nous osons espérer que la réaction d’Oracle sera toujours prompte afin d’apporter des correctifs pour colmater les brèches détectées sur sa plateforme.
Source : Oracle
Et vous ?
Voir aussi
-
atha2Membre éprouvéComme la plupart des technologies utilisées massivement, forcément Java est une cible principale de recherche de faille. Mais non Java SE n'est pas une grosse passoire comme le laisse pensé le titre de l'article. S'il arrive qu'on trouve des failles dans la version Desktop (comme pour toute techno), 99% des failles concernent le plugin web java (dont il est question ici et qui d'ailleurs est deprecated et sera supprimé dans la prochaine version de java). De plus arrêter moi si je me trompe mais aujourd’hui la plupart des navigateurs désactivent Java par défaut non ?le 25/03/2016 à 10:33
-
Julien BodinMembre éclairéle 30/03/2016 à 14:20
-
Pierre Louis ChevalierExpert éminent séniorC'est pourtant bien précisé dans l'article qu'il s'agit du plugin, même si c'est utile de le rappeler...le 28/03/2016 à 4:38
-
mnituExpert éminent séniorle 01/04/2016 à 19:26
-
SQLproRédacteurIl y a hélas longtemps que la sécurité laisse grandement à désirer chez Oracle !
La liste des vulnérabilités dans le moteur de base de données Oracle est l'une des pires. Même MySQL fait mieux. En sus les bugs sont corrigés très tardivement.
Même soucis dans Java qui est une vraie passoire.
Source NIST.
A +le 25/03/2016 à 9:29