S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Deux nouvelles failles pour Java : une qualité de code « inquiétante »

Les semaines se suivent et se ressemblent

Une semaine après la correction par Oracle d’une faille de sécurité critique dans Java, ce dernier est à nouveau victime de deux brèches. Une accumulation telle de problèmes que la société à l’origine de ces découvertes, Security Explorations, se demande s’il n’y a pas un sérieux problème dans la qualité du code de Java 7.

java

 

Il y a une semaine, nous rapportions dans nos colonnes qu’une nouvelle faille Java avait été détectée. Présentée dans les versions Update 9 et 10 de Java 7, elle permettait à une page web spécialement conçue de faire exécuter un code arbitraire grâce à une escalade de privilèges en utilisant le Security Manager. Oracle avait corrigé la faille, mais la société Security Explorations avait par la suite précisé que le correctif n’était justement pas complet.

 

La même entreprise a publié vendredi sur le site Seclists.org un nouveau bulletin. C’est le PDG Adam Gowdiak qui prend à nouveau la parole pour expliquer que la faille qu’Oracle a corrigée seulement en partie ouvrait d’autres pistes d’exploration. Deux nouvelles failles ont été trouvées, et Gowdiak ajoute qu’Oracle a été averti dans la foulée, via notamment un Proof of Concept fonctionnel.

 

Interrogé par PC World, le PDG de Security Explorations a indiqué qu’il y avait « clairement quelque chose d’inquiétant dans la qualité du code de Java SE 7 », avant d’ajouter que le problème venait probablement d’une absence de Secure Development Lifecycle (ensemble de règles visant le développement sécurité d’un projet), ou peut-être d’un problème interne chez Oracle.

 

Notez que les nouvelles failles n’ont pas de rapport avec les anciennes. Gowdiak a de plus signalé que la dernière mise à jour 11 pour Java 7 avait introduit une barrière supplémentaire. Les applets Java ne peuvent en effet plus être lancés sans que l’utilisateur les ait acceptés via une boîte de dialogue. Il s’agit clairement pour lui d’un pas dans la bonne direction.

 

Enfin, on rappellera que l’intégration de Java dans le navigateur peut être coupée directement depuis le panneau de gestion correspondant. On trouve ce dernier dans le panneau de configuration sous Windows, ou encore dans Paramètres sous OS X. Cette intégration ne coupe pas Java, ce qui permettra par exemple aux joueurs de Minecraft de laisser l’environnement installé tout en ne courant pas le risque de voir une faille exploitée durant la navigation.

Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Google+

Publiée le 21/01/2013 à 09:34

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 103 commentaires

Avatar de Naneday INpactien
Naneday Le lundi 21 janvier 2013 à 09:38:11
Inscrit le jeudi 30 juin 11 - 292 commentaires
Java.. même le site officiel parait douteux..
Avatar de romainsromain INpactien
romainsromain Le lundi 21 janvier 2013 à 09:40:50
Inscrit le mardi 4 décembre 12 - 982 commentaires
Oracle quoi... Des fois je me demande si ils ont pas acheté sun surtout pour les royalties....
Avatar de Le-Glod INpactien
Le-Glod Le lundi 21 janvier 2013 à 09:41:21
Inscrit le jeudi 17 mai 07 - 726 commentaires
C'est pas la fete a Broadway...
Avatar de Jiraiya-08 INpactien
Jiraiya-08 Le lundi 21 janvier 2013 à 09:42:33
Inscrit le samedi 5 novembre 11 - 88 commentaires
Les deux nouvelles failles concernent toujours les applets exécutées via les navigateurs ou non ?
Avatar de Jiraiya-08 INpactien
Jiraiya-08 Le lundi 21 janvier 2013 à 09:42:33
Inscrit le samedi 5 novembre 11 - 88 commentaires
(Doublon)

Edité par Jiraiya-08 le lundi 21 janvier 2013 à 09:43

Il y a 103 commentaires

;