Oracle corrige une faille critique dans l'installeur de Java

Oracle corrige une faille critique dans l’installeur de Java

Veuillez rester assis et ne rien faire

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

09/02/2016 2 minutes
24

Oracle corrige une faille critique dans l'installeur de Java

Oracle a publié une mise à jour critique pour Java, hors de son cycle habituel réservé aux correctifs. L’éditeur veut colmater une brèche curieuse, pas nécessairement simple à exploiter, mais qui peut compromettre intégralement la machine si exploitée.

Même si l’intensité de l’actualité a diminué autour de la sécurité de Java, notamment grâce à la mise en place d’un cycle mensuel pour les correctifs, il arrive encore à la technologie de faire parler d’elle. C’est le cas aujourd’hui avec un bulletin critique hors cycle au sujet d’une faille touchant l’installeur de Java pour les versions 6, 7 et 8.

Cette faille, identifiée par la référence CVE-2016-0603, n’est pas simple à exploiter. D’une manière ou d’une autre, un pirate doit enjoindre un utilisateur de récupérer un exécutable d’installation de Java et lui faire lancer. Un peu d’ingénierie sociale devrait aider, quitte à maquiller l’installeur en autre chose. La faille ne peut être exploitée que durant la phase d’installation, mais si le pirate y arrive, il peut obtenir le contrôle de la machine.

La brèche ne peut pas être exploitée à distance véritablement puisqu’elle requiert l’intervention « volontaire » de la victime. Cependant, même ainsi, Oracle considère tout de même la faille suffisamment sérieuse pour nécessiter un bulletin hors cycle, le conseil qui l’accompagne est cependant inusité car il n’est même pas recommandé de mettre à jour Java. Le problème résidant dans l’installeur, il faut simplement penser à récupérer l’exécutable pour être certain d’avoir la dernière révision en cas de réinstallation.

Les trois dernières versions majeures ont été mises à jour. Si vous téléchargez l’exécutable, il faut donc vous assurer qu’il s’agit bien à chaque fois du dernier en date :

  • Java 8 Update 79
  • Java 7 Update 97
  • Java 6 Update 113

Comme indiqué par Eric Maurice sur le blog d’Oracle, toutes les versions précédentes sont vulnérables. 

24

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (24)


Je n’ai qu’une 8.73 à télécharger chez Java (du 05/02). Aucune trace d’une 8.79 pour le moment.

Et le blog fait bien mention d’une 8.73.


Pour la Java 8 je confirme que c’est bien une 8.73 qui mentionne bien la CVE en question.


Ouaip, 8.73.


En même temps, à partir du moment où un pirate envoie un exécutable et que l’utilisateur est assez naïf pour l’exécuter, il peut faire ce qu’il veut, installateur de Java ou pas.








Vekin a écrit :



En même temps, à partir du moment où un pirate envoie un exécutable et que l’utilisateur est assez naïf pour l’exécuter, il peut faire ce qu’il veut, installateur de Java ou pas.





d’où les parties “ingénierie sociale” (ie se faire passer pour un donneur de conseil legit) et “action volontaire de la victime” qui rendent l’exploit difficile à mettre en oeuvre

Y a pas écrit “ceci est un message envoyé par un pirate” en objet non plus, hein <img data-src=" />

(en outre, sous estimer la ‘naïveté’ de l’utilisateur médian est une terrible erreur <img data-src=" /> )



Au hasard, une version d’open office qui demandait le Java, et se débrouiller pour fournir son installeur java

(du genre offline installeur, prenez le sur mon site, etc)…



(remplacer Open Office par n’importe quel logiciel dont vous pourriez être tenté d’utiliser un exe fourni par un tiers).

Encore au hasard: word piraté (mais bon là, on l’a cherché aussi)


Oui, mais ce n’est pas spécifique à l’installateur Java. N’importe quel exécutable peut être une menace, alors à partir du moment où le pirate réussi à convaincre un utilisateur à exécuter un exécutable, le mal est fait…


Je suis un homme simple et comme toujours quand la notification java pop, je click sur suivant sans poser de question… depuis toujours, encore et encore :]








Vekin a écrit :



Oui, mais ce n’est pas spécifique à l’installateur Java. N’importe quel exécutable peut être une menace, alors à partir du moment où le pirate réussi à convaincre un utilisateur à exécuter un exécutable, le mal est fait…





oui là on est d’accord. À partir du moment où l’utilisateur lui-même est compromis et/où qu’il y a un accès direct à une machine, parler de sécurité ou de faille perd un peu de sens ^^



Et voilà, on l’aurait pas imaginé, Java l’a fait ! Une faille critique dans l’installeur !&nbsp;<img data-src=" />








Soltek a écrit :



Ouaip, 8.73.





Ou 8 Up 74. Les deux sont possibles mais la 8 Up 73 est considérée à jour.



J’ai “signalé l’erreur”, mais j’ai l’impression qu’il y a une erreur dans la description de la faille.



Slashdot a donné une version plus “imagée” dans cet article :http://developers.slashdot.org/story/16/02/08/220233/java-installer-flaw-shows-w…



La faille est que sur un site ton navigateur va télécharger un fichier DLL “vérolé”, mais qui donc en lui même est inoffensif. Mais lors de la prochaine installation de Java, l’installer vas aller rechercher la DLL dans le rep download au lieu d’aller chercher la version dans ton rep system.



C’est pas parfaitement clair, mais c’est bien ce que dit CVE-2016-0603 :

To be successfully exploited, this vulnerability requires that an unsuspecting user be tricked into visiting a malicious web site and download files into the user’s system before installing Java SE 6, 7 or 8. Though relatively complex to exploit, this vulnerability may result, if successfully exploited, in a complete compromise of the unsuspecting user’s system.


Mince, je croyais que la faille critique dans l’installateur Java, c’était la barre d’outil Ask … <img data-src=" />








Arcy a écrit :



Mince, je croyais que la faille critique dans l’installateur Java, c’était Javala barre d’outil Ask … <img data-src=" />







<img data-src=" />



(Quitte à <img data-src=" />, autant aller au bout des choses <img data-src=" />)



Pourtant à la base, c’est un véritable constat : Java = programme sponsor qui s’installe (pour les néophytes “nan j’ai pas installé ça, j’ai juste fait Suivant”).


On dirait du Corneille dans le cid:

“ O racle, oh désespoir …”








Exception a écrit :



Et voilà, on l’aurait pas imaginé, Java l’a fait ! Une faille critique dans l’installeur ! <img data-src=" />



Peut mieux faire. Tu aurais pu dire:

Chez Windows c’est l’installeur lui-même qui est une faille ! <img data-src=" />





Il est temps que tu partes en vacances.

Loin, très loin…









Exception a écrit :



Et voilà, on l’aurait pas imaginé, Java l’a fait ! Une faille critique dans l’installeur ! <img data-src=" />







<img data-src=" />



Du coup, que faut-il faire ? Installer Java ou pas installer Java ? <img data-src=" />

Nan, parce que si c’est pour avoir les failles pendant et après… <img data-src=" />



Ben prochaine étape, la faille pour le désinstalleur…<img data-src=" />


Bon bah ca tombe bien :

l’interface chaise clavier (qui est une passoire) installe un soft (Java) qui est une passoire, avec un installer qui est une passoire, sur un OS qui est une passoire.

La boucle est bouclée, en un sens.

Un maillon sécurisé dans la chaine, ca aurait fait mauvais genre.