S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Nouvelle faille déjà exploitée pour Java : prudence recommandée

Coupez Java dans le navigateur si vous ne vous en servez pas

Une faille a été repérée dans Java (version 7, mise à jour 9 et 10) qui permet « l’exécution de code arbitraire à distance » alerte le bulletin du CERTA.

java

 

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) conseille sans plus attendre et provisoirement « de désactiver Java tant qu’un correctif n’est pas diffusé par l’éditeur ». Et pour cause, la vulnérabilité dans le produit d’Oracle « permet une exécution de code arbitraire à distance au moyen d’une page Web spécialement conçue ». La faille n’est pas potentielle puisque « cette vulnérabilité est activement exploitée et largement diffusée » indique l’ANSSI.

 

Le Cert américain ajoute que cette attaque peut être menée par un utilisateur distant et non authentifié. Plus en détail, il faut savoir que chaque applet dans une page web ne peut s’exécuter que si un Security Manager est présent. Dans la plupart des cas, il s’agit de celui fourni par le navigateur, sinon de celui fourni par le plug-in Java Web Start. Une méthode permet à l’applet d’interroger la configuration pour savoir avec quels composants communiquer. Via plusieurs failles, un tel applet pourrait provoquer une escalade de privilèges pour obtenir du Security Manager les pleins pouvoirs.

 

Le principal problème de cette faille Java est qu’elle est exploitable et est déjà exploitée sur des installations entièrement à jour (Java 7 Update 10). En plus des organismes officiels de surveillance, la faille a été reproduite puis confirmée par AlienVault, qui avertit d’ailleurs dans son blog que les kits d’exploitation Blackhole et Nuclear Pack permettent déjà de l’utiliser.

 

java

 

Tous conseillent la désactivation temporaire de Java dans le navigateur web. La solution la plus simple, sous Windows, OS X ou autre, est de se rendre dans les paramètres de Java qui se trouvent dans le Panneau de configuration ou équivalent. De là, il faut cliquer sur l’onglet Sécurité puis désactiver la ligne concernant « le contenu Java dans le navigateur », ainsi que nous vous le montrons dans la capture ci-dessus.

Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Google+

Publiée le 11/01/2013 à 17:32

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 70 commentaires

Avatar de scullder INpactien
scullder Le vendredi 11 janvier 2013 à 17:36:48
Inscrit le mardi 29 juin 04 - 1298 commentaires
http://cdn-static.zdnet.com/i/story/60/52/016505/killitwithfire.gif

(désolé)
Avatar de Crysalide INpactien
Crysalide Le vendredi 11 janvier 2013 à 17:39:33
Inscrit le mardi 24 mars 09 - 5484 commentaires
Bonne année, Java !
Avatar de Muzikals INpactien
Muzikals Le vendredi 11 janvier 2013 à 17:45:56
Inscrit le vendredi 18 janvier 08 - 900 commentaires
M'en fout, je suis toujours avec la branche 6 \o/
Avatar de j-c_32 INpactien
j-c_32 Le vendredi 11 janvier 2013 à 18:00:28
Inscrit le jeudi 11 juin 09 - 2401 commentaires
Est-ce que cette faille est présente avec IcedTea ?
Avatar de dricks INpactien
dricks Le vendredi 11 janvier 2013 à 18:01:57
Inscrit le lundi 3 octobre 05 - 1683 commentaires
Pour la nième fois, si il y a des gens qui ont encore cette saloperie d'activée, c'est qu'ils méritent de se faire infecter.

"Tous conseillent la désactivation temporaire de Java dans le navigateur web."
Moi, je conseille la désactivation ferme et définitive.

Il y a 70 commentaires

;