Nouvelle faille déjà exploitée pour Java : prudence recommandée

Nouvelle faille déjà exploitée pour Java : prudence recommandée

Coupez Java dans le navigateur si vous ne vous en servez pas

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

11/01/2013 2 minutes
70

Nouvelle faille déjà exploitée pour Java : prudence recommandée

Une faille a été repérée dans Java (version 7, mise à jour 9 et 10) qui permet « l’exécution de code arbitraire à distance » alerte le bulletin du CERTA.

java

 

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) conseille sans plus attendre et provisoirement « de désactiver Java tant qu’un correctif n’est pas diffusé par l’éditeur ». Et pour cause, la vulnérabilité dans le produit d’Oracle « permet une exécution de code arbitraire à distance au moyen d’une page Web spécialement conçue ». La faille n’est pas potentielle puisque « cette vulnérabilité est activement exploitée et largement diffusée » indique l’ANSSI.

 

Le Cert américain ajoute que cette attaque peut être menée par un utilisateur distant et non authentifié. Plus en détail, il faut savoir que chaque applet dans une page web ne peut s’exécuter que si un Security Manager est présent. Dans la plupart des cas, il s’agit de celui fourni par le navigateur, sinon de celui fourni par le plug-in Java Web Start. Une méthode permet à l’applet d’interroger la configuration pour savoir avec quels composants communiquer. Via plusieurs failles, un tel applet pourrait provoquer une escalade de privilèges pour obtenir du Security Manager les pleins pouvoirs.

 

Le principal problème de cette faille Java est qu’elle est exploitable et est déjà exploitée sur des installations entièrement à jour (Java 7 Update 10). En plus des organismes officiels de surveillance, la faille a été reproduite puis confirmée par AlienVault, qui avertit d’ailleurs dans son blog que les kits d’exploitation Blackhole et Nuclear Pack permettent déjà de l’utiliser.

 

java

 

Tous conseillent la désactivation temporaire de Java dans le navigateur web. La solution la plus simple, sous Windows, OS X ou autre, est de se rendre dans les paramètres de Java qui se trouvent dans le Panneau de configuration ou équivalent. De là, il faut cliquer sur l’onglet Sécurité puis désactiver la ligne concernant « le contenu Java dans le navigateur », ainsi que nous vous le montrons dans la capture ci-dessus.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (70)


Bonne année, Java ! <img data-src=" />


M’en fout, je suis toujours avec la branche 6 \o/


Est-ce que cette faille est présente avec IcedTea ?


Pour la nième fois, si il y a des gens qui ont encore cette saloperie d’activée, c’est qu’ils méritent de se faire infecter.



“Tous conseillent la désactivation temporaire de Java dans le navigateur web.”

Moi, je conseille la désactivation ferme et définitive.

<img data-src=" />




Coupez Java dans le navigateur si vous ne vous en servez pas





C’est ce que j’ai fais depuis une bonne année, quand j’ai eu le virus Gendarmerie, le seul virus que j’ai eu depuis que j’ai un pc, soit 10 ans <img data-src=" />



Et sans aucun troll, depuis l’avoir désactivé, je n’ai pas vu l’intéret de le remettre vu qu’aucun site ne l’utilise, en tout cas je recommence de pas l’installer, Java apporte trop de virus, et trop souvent <img data-src=" />



Comment totalement tuer Java aussi ….








Muzikals a écrit :



M’en fout, je suis toujours avec la branche 6 \o/







Idem, je ne savais même pas qu’il y avait une version 7…



Je suis aussi sous 6 avec Linux Mint 13 Maya


perso je n’ai pas ça sur la capture java (j’ai juste le truc sur les certificats)

et dans les options avancées, il y a bien la désactivation pour IE et Mozilla… mais celle de IE est grisée et celle de mozilla revient à chaque fois que je fais “appliquer”…



perso, je m’en passerai volontiers de java mais jdownloader l’utilise… :-/








Larsirion a écrit :



perso, je m’en passerai volontiers de java mais jdownloader l’utilise… :-/





En vérifiant je viens de me rendre compte que “JDownloader” est la contraction de “Java Downloader”.



Je mourrais moins bête ce soir tiens… <img data-src=" />



J’suis sur Windows 8 et je n’ai pas ça dans le panneau de configuration java.

Dans securité je n’ai que : Certificats et rien d’autre








dump a écrit :



J’suis sur Windows 8 et je n’ai pas ça dans le panneau de configuration java.

Dans securité je n’ai que : Certificats et rien d’autre







Pareil que toi et je suis sur win7 64 bits.









Larsirion a écrit :



perso je n’ai pas ça sur la capture java (j’ai juste le truc sur les certificats)

et dans les options avancées, il y a bien la désactivation pour IE et Mozilla… mais celle de IE est grisée et celle de mozilla revient à chaque fois que je fais “appliquer”…







Tu dois avoir l’update 9 et non la 10 <img data-src=" />



pour firefox, un coup dans le menu Module complémentaires / plugins et clic sur désactiver. Et hop, plus de java.








herbeapipe a écrit :



Pareil que toi et je suis sur win7 64 bits.







Démarrer &gt; Panneau de configuration &gt; Java



Mais faut pas passer par la recherche, ça ne fonctionne pas.

(c’est peut-être ça qui vous induit en erreur)









dump a écrit :



J’suis sur Windows 8 et je n’ai pas ça dans le panneau de configuration java.

Dans securité je n’ai que : Certificats et rien d’autre







Il me semble que çà dépend du type de Java installé (JRE ou JDK)



“Pour profiter de PC INpact, votre navigateur doit obligatoirement supporter Javascript”



lol








Reznor26 a écrit :



En vérifiant je viens de me rendre compte que “JDownloader” est la contraction de “Java Downloader”.



Je mourrais moins bête ce soir tiens… <img data-src=" />



Pourquoi, tu comptes te suicider ce soir ou quoi?<img data-src=" /><img data-src=" />









cid_Dileezer_geek a écrit :



Pourquoi, tu comptes te suicider ce soir ou quoi?<img data-src=" /><img data-src=" />





<img data-src=" />



Je crois que je me suis emmêlé les pinceaux dans les expressions… <img data-src=" />









Seth-01 a écrit :



“Pour profiter de PC INpact, votre navigateur doit obligatoirement supporter Javascript”



lol





C’est pas de javascript qu’on parles.









Seth-01 a écrit :



“Pour profiter de PC INpact, votre navigateur doit obligatoirement supporter Javascript”



lol





Une petite confusion Java / Javascript… ?









Seth-01 a écrit :



“Pour profiter de PC INpact, votre navigateur doit obligatoirement supporter Javascript”



lol









Java et Javascript (renommé ECMA Script justement pour éviter la confusion) sont deux choses totalement différentes.



Quand à Jdownloader, il fonctionnera toujours une fois les plugins Java désactivés dans les navigateurs.









mooms a écrit :



Quand à Jdownloader, il fonctionnera toujours une fois les plugins Java désactivés dans les navigateurs.





Tout-à-fait, testé la “coupure” en plein téléchargement : aucune incidence. <img data-src=" />



Au sujet de cette faille, je confirme…



Il y a à peu près 2 semaines j’ai choppé une saloperie sur mon PC simplement en navigant de lien en lien, je n’ai lancé AUCUN exécutable.



Donc: Firefox qui a lancé quelque chose tout seul et j’ai eu à peine le temps de voir une fenêtre s’ouvrir. Navigateur qui se ferme, toutes les icônes qui dégagent, plus de barre de tâches, plus de gestionnaire de tâches juste le fond d’écran.



Voyant le modem routeur tourner, j’ai enlevé le câble ethernet, puis rebooté l’ordi à la barbare.



Au retour du bureau, plus d’accès aux navigateurs ni au gestionnaire de tâches, par contre j’avais mes raccourcis sur le bureau, et en particulier MalwareByte’s Antimalware.



Je l’ai lancé, il n’a pas mis longtemps à me trouver une saloperie (Ransomware).

Une fois dégagé et l’ordi de nouveau rebooté, j’ai remis à jour le MalwareByte’s et relancé autant de fois que nécessaire un scan approfondi et à ma grande surprise, à l’heure où les ennuis avaient commencé il m’a trouvé un fichier java infecté qui avait été créé…



Par quoi je ne le saurai jamais, mais j’ai vite fait le rapprochement…



Pour être honnète, je n’étais peut-être pas sur des sites super recommandables mais pas non plus des choses illégales (loin de là même …), donc bon… prudence.



<img data-src=" />


Désolé mais si je vais dans l’onglet “sécurité”, je n’ai référence qu’aux certificats. Pas de réglette ni rien d’autres …








Larsirion a écrit :



perso je n’ai pas ça sur la capture java (j’ai juste le truc sur les certificats)

et dans les options avancées, il y a bien la désactivation pour IE et Mozilla… mais celle de IE est grisée et celle de mozilla revient à chaque fois que je fais “appliquer”…



perso, je m’en passerai volontiers de java mais jdownloader l’utilise… :-/







Simple : désactive Java dans tes navigateurs, ça suffit.

A ce jour, les sites qui se servent d’applet Java n’existent plus, ou presque. Le vecteur d’infection le plus fréquent passe le plus souvent par des pages web avec une applet Java conçue pour infecter.





JDownloader utilise la version de Java installée, pas le plugin pour le navigateur.




Si ça peut aider :



http://www.java.com/fr/download/help/enable_browser.xml



Le tuto pour (dés)activer Java dans les navigateurs … sur le site de Java. ^^


Je ne peux pas me passer de Java, pratiquement toute ma formation repose dessus. =__=








EMegamanu a écrit :



Je ne peux pas me passer de Java, pratiquement toute ma formation repose dessus. =__=







Y a pas à dire, il y a un gros problème avec l’enseignement supérieur info en france …









EMegamanu a écrit :



Je ne peux pas me passer de Java, pratiquement toute ma formation repose dessus. =__=







J’ai désactivé les modules (via les menus de mes 2 navigateurs puisque j’utilise IE et Firefox) et j’ai enlevé le plug-in via le menu du gestionnaire java.



Ca n’enlève pas Java de la machine, ça empêche simplement qu’il se lance depuis les navigateurs. <img data-src=" />



C’est lassant en plus les mises à jours ne sont pas automatique toujours faire et refaire les étapes d’installations <img data-src=" />



Failles Java + Failles MS = For The Loose <img data-src=" />


Et voilà une de plus…



Ma société commercialise un soft qui ne se lance qu’au travers d’un appel Java depuis le navigateur <img data-src=" />



ça va être sympa les appels Lundi à la Hotline !








Reznor26 a écrit :



Démarrer &gt; Panneau de configuration &gt; Java



Mais faut pas passer par la recherche, ça ne fonctionne pas.

(c’est peut-être ça qui vous induit en erreur)







Ah non c’était juste que je n’avais pas la dernière version. Après la dernière version tout est ok. ;)









EMegamanu a écrit :



Je ne peux pas me passer de Java, pratiquement toute ma formation repose dessus. =__=









Tu peux continuer à utiliser et développer en Java sans avoir pour autant cette s*loperie de plugin Java dans ton navigateur.









bzc a écrit :



Y a pas à dire, il y a un gros problème avec l’enseignement supérieur info en france …





Quand le navigateur doit avoir accéder à l’USB mis a part Flash tu propose quoi ?



Si Oracle arrêtait un peu de faire des procès à tout le monde peut-être qu’ils auraientt le temps d’écrire un truc propre <img data-src=" />








Horizon a écrit :



Quand le navigateur doit avoir accéder à l’USB mis a part Flash tu propose quoi ?





Tu n’as pas compris. Java a ses avantages comme tout les langages, mais qu’une formation repose entièrement sur un seul langage ça fait peur (et si il fallait en choisir qu’un seul ça devrait être un autre je pense mais bon ça c’est plus subjectif).



Y’en a marre des failles java.. sérieux c’ est pire qu’ un gruyère pas la peine de sortir des correctifs si ca sert à rien <img data-src=" />








Seth-01 a écrit :



“Pour profiter de PC INpact, votre navigateur doit obligatoirement supporter Javascript”



lol





Il ne faut pas confondre Java et Javascript <img data-src=" /><img data-src=" /><img data-src=" />



<img data-src=" />









sylvere a écrit :



Si Oracle arrêtait un peu de faire des procès à tout le monde peut-être qu’ils auraientt le temps d’écrire un truc propre <img data-src=" />





Les patchs sont les bienvenus<img data-src=" />









Horizon a écrit :



Quand le navigateur doit avoir accéder à l’USB mis a part Flash tu propose quoi ?







silverlight.









rbag a écrit :



silverlight.





C’est pas abandonné ça ? <img data-src=" />



Peut-être que les gens se mettront enfin à coder en un vrai langage comme C++ <img data-src=" />



Franchement, j’aime déjà pas répéter à chaque fois “public bidule, private bidule”, le prof est d’une suffisance impressionnante, alors en plus s’il y a des failles 0day-top-critiques tous les jours, ça va pas changer mon opinion sur ce langage.


Le 11/01/2013 à 21h 48







rbag a écrit :



silverlight.







J’ai bien rigolé merci



Fallait s’y attendre….



Vu le nombre d’années que les développeurs Java se branlent le menton haut avec leurs design patterns… et vu l’effet cascade, ils ne vont pas sortir un correctif avant un bon gros moment..! <img data-src=" />









Horizon a écrit :



Quand le navigateur doit avoir accéder à l’USB mis a part Flash tu propose quoi ?







Un applet java, pourquoi pas, mais accéder à l’USB depuis un navigateur Web est tellement marginal que ce n’est pas une raison pour imposer un plugin Java inutile dans 99% des cas à tous les utilisateurs de Java ou d’un logiciel qui utilise Java.



Dans ton cas tu dis à l’utilisateur d’installer le plugin Java et c’est bon, ça évite que tout le monde ait ce plugin par défaut et aille grossir les rangs des machines zombies des botnets.



Java désactivé sur mes navigateurs <img data-src=" />








Horizon a écrit :



Quand le navigateur doit avoir accéder à l’USB mis a part Flash tu propose quoi ?





On a beau être en 2013, Java ne gère pas l’USB, pas plus que Flash…





Je crois que je me suis emmêlé les pinceaux dans les expressions



peintre ?








ElRom16 a écrit :



Et sans aucun troll, depuis l’avoir désactivé, je n’ai pas vu l’intéret de le remettre vu qu’aucun site ne l’utilise, en tout cas je recommence de pas l’installer, Java apporte trop de virus, et trop souvent <img data-src=" />







Pour ma part je n’installe plus du tout Java sur les PC des clients, ni les miens, et je n’ai remarqué aucun site internet le demandant…



A mon avis l’usage de Java sur les sites internet se fait relativement rare, et dans ce cas je suggère de l’installer uniquement si nécessaire.

Idem pour les logiciels, il est rare qu’un programme le demande.



De plus, j’ai remarqué qu’à l’usage les mises à jour de Java ne sont pas automatiques, il pose des questions… contrairement à Adobe Flash et Reader qui ont bien amélioré les choses (et Firefox aussi).



Même LibreOffice ne réclame plus du tout Java depuis de nombreuses versions, donc plus aucune raison de le mettre par défaut.









ff9098 a écrit :



J’ai bien rigolé merci







très sincèrement c’était un peu du troll quand j’ai écrit ça <img data-src=" />









MrPlectros a écrit :



Et voilà une de plus…



Ma société commercialise un soft qui ne se lance qu’au travers d’un appel Java depuis le navigateur <img data-src=" />



ça va être sympa les appels Lundi à la Hotline !









  • 1 !



    Ca fait juste <img data-src=" />: plantage:

    ouiais chouette ….









sylvere a écrit :



Si Oracle arrêtait un peu de faire des procès à tout le monde peut-être qu’ils auraient le temps d’écrire un truc propre <img data-src=" />



Pas étonnant qu’ils aient des failles si c’est le service juridique qui développe.<img data-src=" /><img data-src=" /><img data-src=" />









cid_Dileezer_geek a écrit :



Pas étonnant qu’ils aient des failles si c’est le service juridique qui développe.<img data-src=" /><img data-src=" /><img data-src=" />







Ils perdent déjà du temps pour comparer les brevets <img data-src=" /><img data-src=" /><img data-src=" />









Resman a écrit :



On a beau être en 2013, Java ne gère pas l’USB, pas plus que Flash…







Bien sûr que si (pour Java, Flash je ne connais pas).









John Shaft a écrit :



Tu dois avoir l’update 9 et non la 10 <img data-src=" />







effectivement <img data-src=" />



par contre, bien joué l’auto update qui ne met rien à jour…

ça sert à quoi d’avoir la mise à jour auto coché dans les options java… si rien ne se met à jour???

décidément, c’est codé avec les pieds cette affaire…



bon, mis à jour à la mano et navigateurs désactivés <img data-src=" />









bzc a écrit :



Bien sûr que si (pour Java, Flash je ne connais pas).







Par defaut, il y a une lib Java qui gere l’USB ?

OU alors il faut utiliser une lib dédiée comme avec tous les autres langages ?









chambolle a écrit :



Par defaut, il y a une lib Java qui gere l’USB ?

OU alors il faut utiliser une lib dédiée comme avec tous les autres langages ?





Ça dépend pour faire quoi, de manière générale je dirais qu’il faut plutôt une lib. Mais un workaround sympa est de faire apparaître le device USB comme un port COM avec des drivers VCP. Ensuite c’est accessible via System.IO.Ports.



Je précise que j’ai pas une formation de dev donc j’aurais du mal à donner plus de détails mais ce que font des devs dans mon entreprise pour un lecteur de carte.









bzc a écrit :



Bien sûr que si (pour Java, Flash je ne connais pas).







Non. L’exemple que tu donnes est un port série virtuel USB, pas de l’USB en tant que tel. Il n’y a aucune lib qui permette d’accéder à l’USB de manière générique en Java.



J’ai bien désactivé java dans opera:plugins mais il y en a plusieurs.3 exactement. J’ai tout désactivé.








dricks a écrit :



Pour la nième fois, si il y a des gens qui ont encore cette saloperie d’activée, c’est qu’ils méritent de se faire infecter.



“Tous conseillent la désactivation temporaire de Java dans le navigateur web.”

Moi, je conseille la désactivation ferme et définitive.

<img data-src=" />





et à propos de désactiver ton compte pci pour trollage abusif?









Resman a écrit :



Non. L’exemple que tu donnes est un port série virtuel USB, pas de l’USB en tant que tel. Il n’y a aucune lib qui permette d’accéder à l’USB de manière générique en Java.





Au boulot, j’ai un applet Java d’un site qui permet de lire le certificat sur une clé USB, si c’étais possible de faire sa en JS, j’imagine que cela serais fait depuis longtemps.



Pensez à désactiver Flash, JavaScript, et les feuilles de style <img data-src=" />


Pour l’utilisation java-USB il n’y a rien de propre qui existe a ce jour. Les libs tierces relèvent d’usines a gaz.

Il est possible d’écrire lire sur un périphérique USB monté de manière standard en java mais pour tout autre chose (détection de connexion, taille dispo sur periph etc) le plus simple c’est JNA + win32 API (sous win par exemple)


Le site 01NET semble être un vecteur de diffusion d’adware et autre saloperies :http://www.malekal.com/2011/11/28/pctuto-et-01net-le-foutage-de-gueule-continue/


https://addons.mozilla.org/fr/firefox/blocked/p182



Etrange ils disent que c’est désactivé depuis le 30 octobre 2012 mais bon j’y crois pas trop

Surtout qu’ils disent que c’est désactivé alors que dans les modules pour firefox y a marqué le contraire mais peut-être que c’est pas transparent pour l’utilisateur …


Le 13/01/2013 à 14h 36







Ideal a écrit :



https://addons.mozilla.org/fr/firefox/blocked/p182



Etrange ils disent que c’est désactivé depuis le 30 octobre 2012 mais bon j’y crois pas trop

Surtout qu’ils disent que c’est désactivé alors que dans les modules pour firefox y a marqué le contraire mais peut-être que c’est pas transparent pour l’utilisateur …





En fait, ils ont modifié une règle précédente, qui ne s’appliquait pas à Java 7 U10 avant mise à jour (du 11 janvier). Sur Firefox 17 et ultérieur, Java 7 U10 n’est pas bloqué, il est CTP block : il ne s’exécute pas automatiquement, il faut cliquer sur l’applet pour la lancer (fonction Click to play).









Math73 a écrit :



En fait, ils ont modifié une règle précédente, qui ne s’appliquait pas à Java 7 U10 avant mise à jour (du 11 janvier). Sur Firefox 17 et ultérieur, Java 7 U10 n’est pas bloqué, il est CTP block : il ne s’exécute pas automatiquement, il faut cliquer sur l’applet pour la lancer (fonction Click to play).





Je viens de voir ca sur un site pour le boulot, chembl, qui utilise un applet java pour dessiner des molecules (bon en meme dans ce domaine ils sont un peu tous affectes, chemspider, et ils ne sont pas de petits sites).

Et la pas trop le choix, je ne peux pas me passer de l’applet java.



Le 13/01/2013 à 22h 40







ungars a écrit :



Le site 01NET semble être un vecteur de diffusion d’adware et autre saloperies :http://www.malekal.com/2011/11/28/pctuto-et-01net-le-foutage-de-gueule-continue/







ça existe encore ?