S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Faille Java 0-day : Oracle alerté depuis avril 2012

Café bouillu

Une faille très sérieuse dans Java 1.7 est apparue le 26 août, à la faveur d’une annonce de FireEye, une société de sécurité. Outre la dangerosité elle-même de la faille, aggravée par les détails de son exposition, on apprend aujourd'hui que Oracle était informé de cette faille depuis avril 2012.

Ce n’est pas la première fois qu’apparaît une faille Java 0-day, c’est-à-dire exploitée avant même que le public ne soit au courant et protégé. La faille est critique, car elle peut être exploitée à distance, depuis un serveur infecté et des applets Java spécialement conçus. Une faille d’autant plus dangereuse qu’elle peut être exploitée sur tous les systèmes. Cependant, la brèche désormais connue sous l’appellation CVE-2012-4681 a davantage marqué les esprits par un concours malheureux d’évènements qui pose aujourd’hui la question de la responsabilité.

 

Tout commence avec la révélation de FireEye le 26 août. La société révèle une série de détails à propos d’une trouvaille intervenue dans le cadre d’une attaque spécialisée sur l’un de ses clients (une version que contredit Eric Romangne de Zataz). La présentation de FireEye est le départ d’une course entre les chercheurs qui vont s’empresser de trouver ladite faille grâce aux informations fournies. L’objectif : publier des rapports plus complets et des codes de démonstration (PoC, Proof of Concept).

Les kits d'exploitation ont été rapidement mis à jour

Ici, la situation dérape, car la frontière est mince entre l'information et son exploitation. Rapidement, des kits d’exploitation de failles vont intégrer ces données pour se mettre à la page. C’est le cas notamment du Blackhole Exploit Kit qui bénéficie d’une annonce de son auteur à ce sujet. L’éditeur antivirus Sophos publie d’ailleurs un billet sur son blog pour le confirmer, dans lequel non seulement il recommande de désactiver Java mais accuse également Oracle (qui possède Java) d’être au courant depuis le mois d’avril.

 

Comme l’indique Eric Freyssinet, chef de la division de lutte contre la cybercriminalité de la gendarmerie nationale, d’autres kits d’exploitation suivent très rapidement. C’est le cas notamment de Sakura, suivi de près par Sweet orange. Dans la foulée, l’éditeur Rapid7 annonce que sa plateforme de tests d’intrusion Metasploit intègre également la nouvelle faille. Tout va très vite, au point qu’Eugène Kaspersky, fondateur de l’éditeur du même nom, se fâche sur Twitter et parle d’irresponsabilité dans les annonces :

 

 

Une exploitation active et le silence d'Oracle

Mais le vrai problème vient sans doute d’Oracle. Comme le précise Eric Freyssinet, il n’est pas rare qu’une faille ne soit pas corrigée tout de suite. Les grands éditeurs comme Oracle, Microsoft, Apple et ainsi de suite préfèrent effectuer des roulements pour diffuser plusieurs correctifs d’un coup. Dans le cas d’Oracle cependant, la faille est connue depuis avril (l'avertissement du 2 avril 2012 de Security Explorations) et n’est toujours pas référencée sur le site. La prochaine publication de correctifs est prévue pour octobre, ce qui laisse au bas mot plus d’un mois aux auteurs de malwares pour exploiter la situation.

 

Et cette exploitation est déjà active. L’article de Kasperksy donnait déjà il y a deux jours une carte des sites contaminés :

 

java

 

Même si l’éditeur indique que seul Windows est véritablement visé pour l’instant, l’exploitation sur d’autres plateformes ne saurait tarder.

Désactiver Java

De fait, la désactivation de Java est désormais recommandée par plusieurs sources, dont la plus récente est Mozilla. Le père de Firefox indique en outre travailler sur une fonctionnalité qui sera active dans Firefox 18 au plus tard et permettant de n’activer Java qu’à la demande, le navigateur affichant une demande d’autorisation pour exécuter un code (click-to-play).

 

Nous vous fournissons donc la méthode pour désactiver Java sur les principaux navigateurs.

  • Internet Explorer

Se rendez dans les Options Internet, puis dans l’onglet Programmes. Cliquer sur « Gérer les modules complémentaires » et chercher Java dans la liste :

 

java

  • Firefox

Se rendez dans le menu Outils, puis cliquer sur Modules Complémentaires :

 

java

  • Chrome

Cliquer sur la clé à molette en haut à droite du navigateur, puis sur Paramètres. Cliquez sur le bouton Paramètres de contenu dans la zone « Confidentialité », puis sur le lien « Désactiver les plug-ins individuels » dans la partie « Plug-ins » :

 

java java

  • Safari

Se rendre dans les paramètres du navigateur, puis dans l’onglet Sécurité :

 

java

Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Google+

Publiée le 30/08/2012 à 11:22

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 84 commentaires

Avatar de A-D INpactien
A-D Le jeudi 30 août 2012 à 11:29:31
Inscrit le jeudi 16 juillet 09 - 1138 commentaires
Java n'a rien à faire dans un navigateur hormis alourdir la machine. HTML5 doit être la référence.
Avatar de J-Phil INpactien
J-Phil Le jeudi 30 août 2012 à 11:31:10
Inscrit le jeudi 21 août 08 - 840 commentaires
A confirmer mais je crois que cette faille ne concerne que Java 7 ...
Donc désactiver Java n'est pas forcément nécessaire pour les autres versions ...
Avatar de Anikam INpactien
Anikam Le jeudi 30 août 2012 à 11:31:45
Inscrit le jeudi 13 août 09 - 1752 commentaires
Oracle... faille... comportement de merde... comme d'hab quoi !

Savoir que son produit est un gruyère emmental et ne rien faire devrait être passible de lourdes sanctions !
Avatar de tsubasaleguedin INpactien
tsubasaleguedin Le jeudi 30 août 2012 à 11:38:07
Inscrit le mercredi 20 octobre 04 - 2804 commentaires
La faille existe que sur java 1.7

Il y a 84 commentaires

;