Nous vous informions hier qu’une faille Java, connue par Oracle depuis avril dernier, était désormais exploitée. Alors qu’Oracle ne communiquait pas sur le sujet, la firme propose désormais un correctif.
Pour rappel, hier encore Oracle n’affichait aucune information au sujet de cette faille critique. Seule apparaissait la prochaine mise à jour prévue pour le 12 octobre, et corrigeant un lot de failles. Mais l’éditeur a changé d’avis : un correctif est en distribution depuis hier soir contre la fameuse brèche... mais pas seulement.
Sur le site d’Oracle, la mise à jour contient plusieurs bulletins. L'un cible la fameuse faille CVE-2012-4681 dont on apprend qu'elle est en réalité double. L’éditeur en profite pour lui adjoindre trois autres correctifs qui changent le périmètre d’application de l’ensemble. En effet, les failles CVE-2012-4681 ne concernaient que Java 7 (ou 1.7), alors que cette vague de correctifs touche également Java 6.
Conséquence : de très nombreuses machines doivent être mises à jour. En raison d’une exploitation déjà active des failles et de la « divulgation publique de détails techniques », Oracle recommande l’installation aussi rapidement que possible. Les utilisateurs vont donc voir apparaître un signalement de Java pour leur indiquer la disponibilité de la mise à jour, du moins s'ils ont Windows.
Cependant, que vous ayez Windows ou un autre OS, nous vous recommandons de récupérer directement et sans attendre l’exécutable correspondant à votre version. Il vaut mieux d'ailleurs récupérer la dernière mouture de Java 7 (estampillée Update 7), d’autant qu’Oracle a récupéré la souveraineté de sa technologie sous OS X. Le téléchargement se fait directement ou via un assistant (sous Windows) et peut peser jusqu'à 50 Mo en fonction du système.
Sachez enfin que vous pouvez tout simplement supprimer Java si vous ne l'utilisez jamais. Les sites s'en servant sont devenus très rares, la technologie étant nettement plus utilisée dans le cadre de la mobilité, ou pour certains jeux tels que Minecraft. De manière générale, les composants non utilisés devraient être désinstallés pour réduire la surface de code exposée.
Commentaires (70)
#1
De manière générale, les composants non utilisés devraient être installés pour réduire la surface de code exposée.
Il faudrait donc que j’installe les composants inutiles java pour augmenter la surface de code exposée " />
Désolé c’est trop tentant " />
#2
En raison d’une exploitation déjà active des failles et de la « divulgation publique de détails techniques »
Faut-il comprendre que, dans leur esprit, tant que ce n’est pas rendu public, il n’est pas nécessaire de corriger ?
‘Fin bon, ils bougent un peu, c’est déjà ça " />
#3
Java mieux
Mais pourquoi j’ai ris… " />
#4
#5
#6
C’est la ou on voit les méfaits du rachat de Sun par oracle … :/
#7
#8
#9
#10
Est-ce que LibreOffice utilise toujours Java ?
#11
#12
#13
Bonjour
Les sites s’en servant sont devenus très rares
Sans statistiques à l’appui, vous auriez mieux fait de vous passer de ça.
#14
#15
#16
#17
Oracle, c’est le MAL.
Nan, sans rire. Le correctif est le bienvenue car je suis encore bien dépendant de ce Java " /> J’espère que Oracle va se reprendre et assumer ses responsabilités après avoir racheter Java, ce serait un minimum. " />
#18
#19
Au boulot, on a encore pas mal de sites “métier” qui se basent sur Java (branche 1.6 uniquement au passage). Je vous raconte pas le problème …
#20
Je n’ai jamais su, la branche 6 est touchée par cette faille ou pas? " />
#21
#22
#23
#24
#25
Au boulot mes 7 Switch HP utilise JAVA …. Donc pas le choix de mettre à jours pour l’interface web :P.
Quel daube d’ailleur …. Si quelqu’un à déjà réussi via GPO à virer les Java 6 pour balancer la 7 à la place je suis preneur d’infos …. parce que dans le genre j’installe la 7 sans virer la 6 " /> quel daube ce JAVA " /> . A moins qu’il n’y est pas rétrocompatibilité et dans ce cas je comprend mieux. Mais bonjour l’exposition aux failles " /> .
En tout cas ça m’enerve de perdre mon temps sur des conneries de failles à patcher en urgence au boulots " /> . Oracle est une bande de " /> et pour la peine " /> " />
#26
Au final, cette faille aura peut-être contribué à précipiter la disparition de Java, en tout cas sur PC.
Ce qui n’est pas pour me déplaire " />
Franchement, en 2012, pourquoi utiliser un tel machin, lourd et inutile ? Je compte sur les doigts de la main les moments où j’ai dû m’en servir (Gaikai, Minecraft). Et ça ne m’étonnerait pas que ceux-ci abandonnent Java à l’avenir.
Java va sûrement connaître le sort de Flash…
#27
#28
Dans mon dossier Java j’ai deux dossiers.
jre6
et
jre7
Je ne comprends pas.
Java ne désinstalle pas les versions anterieures lors de MAJ?
Merci " />
#29
#30
#31
que vous ayez Windows ou un autre OS
Bon, maintenant faut que je trouve le patch pour mes machines sous Tru64… Ah ben non on est bloqués en Java 1.4 de toute façon, donc on n’était pas vulnérables " />
#32
#33
Perso j’ai désactivé cette saloperie de mon Firefox, et hop, plus jamais de brèche.
Et pour les sites qui auraient la mauvaise idée de vouloir utiliser le plugin Java, tant pis pour eux, je ferai sans eux.
Je me suis débarassé de ces saloperies d’activeX en faisant mes adieux à IE, c’est pas pour me faire infecter par des plugins alacon.
" />
#34
#35
#36
Oracle et comment vider un océan avec un cuillère pour colmater les brèches de java?
" />
#37
Assez désolants les commentaires anti Java sans comprendre ce à quoi ça sert…
De même, les lectures de travers de la phrase
. En raison d’une exploitation déjà active des failles et de la « divulgation publique de détails techniques », Oracle recommande l’installation aussi rapidement que possible.
est aussi ridicule : ils incitent à installer rapidement, ils ne disent pas qu’ils se sont bougés parce que c’était 0-day…
Autant MySQL a suscité à juste titre beaucoup de questions, autant le débat autour du support de Java me semble inepte.
Et non, je bosse pas pour Oracle : il faut reonnaître qu’ils ont les travers habituels des éditeurs ni plus ni moins.
#38
#39
#40
Vincent Hermann a écrit :
Il vaut mieux d’ailleurs récupérer la dernière mouture de Java 7 (estampillée Update 7), d’autant qu’Oracle a récupéré la souveraineté de sa technologie sous OS X.
Pour info sur OSX:
Configuration minimale requise pour Mac OS X :
Ordinateur Mac Intel exécutant la version Mac OS X 10.7.3 (Lion) ou une version supérieure
" />
#41
#42
#43
[quote:4251250:Kiroha]… parce que dans le genre j’installe la 7 sans virer la 6 " /> quel daube ce JAVA " /> . A moins qu’il n’y ait pas rétrocompatibilité et dans ce cas je comprend mieux. Mais bonjour l’exposition aux failles " /> .
/quote]
Pour ma part je suis obligé d’utiliser Java v6 32 bits pour le programme TV Scheduler Pro, en v7 ça ne marche pas et ça fait déconner mon W7 dès qu’un programme utilisant IE se lance genre le carrousel de Vente Privée.
" />
#44
#45
#46
A noter un fort bon article sur la chronologie de cette faille " />
#47
#48
un patch fort utile:http://zataz.com/news/22375/oracle–exploit–0day–faille.html
#49
Le patch anti 0day Java ne sert à rien
http://www.zataz.com/news/22375/oracle–exploit–0day–faille.html
Bon ba rendez vous dans 5 mois !
#50
#51
#52
#53
100 megas le poids de java 7.05
130 megas le poids de java 7.07
je rêve pas là ? " />
#54
#55
" /> Plus de surface pour plus de failles c’est du bon dis donc !! " />
#56
En tout cas, ce site a besoin de java pour fonctionner.
#57
#58
#59
#60
#61
Linux Mint 13 avec Cinnamon. Pas de soucis d’interface, Cinnamon ça poutre ! Pas de soucis de driver, enfin moins qu’avec Win7 (scanner EPSON non reconnu / Win, fonctionnel avec le firmware / Linux). Pas de SUN-JRE, juste OpenJRE pour Libreoffice, donc pas d’ennui avec les failles de chez Oracle. Enfin /home monté en noexec donc même si un truc arrive à se copier dans mon répertoire utilisateur à la faveur d’une faille non autorisé, le noyau refusera de l’exécuter de toute façon.
#62
Vous inquiétez pas, sous Linux l’exploit qui tourne sur le net ne fonctionne pas (essayé moi même et confirmé ici). Ça veux pas dire qu’il n’y a pas de faille sous Linux mais les quelques différences d’implémentation du plugin font que ça demande un tout autre travail que les pirates ne feront jamais pour 1% de pdm.
On peut bien me supprimer mes posts mais je répète, une vraie solution c’est de sortir du troupeau.
Quand même je me demande qui trolle… conseiller de supprimer la fonctionnalité c’est pas une solution ça. Si les gens ont besoin de java ils l’ont, si ils en ont pas besoin ils l’ont pas. En plus le correctif est sorti. Bref… " />
#63
#64
#65
#66
#67