Oracle a publié une mise à jour critique pour Java, hors de son cycle habituel réservé aux correctifs. L’éditeur veut colmater une brèche curieuse, pas nécessairement simple à exploiter, mais qui peut compromettre intégralement la machine si exploitée.
Même si l’intensité de l’actualité a diminué autour de la sécurité de Java, notamment grâce à la mise en place d’un cycle mensuel pour les correctifs, il arrive encore à la technologie de faire parler d’elle. C’est le cas aujourd’hui avec un bulletin critique hors cycle au sujet d’une faille touchant l’installeur de Java pour les versions 6, 7 et 8.
Cette faille, identifiée par la référence CVE-2016-0603, n’est pas simple à exploiter. D’une manière ou d’une autre, un pirate doit enjoindre un utilisateur de récupérer un exécutable d’installation de Java et lui faire lancer. Un peu d’ingénierie sociale devrait aider, quitte à maquiller l’installeur en autre chose. La faille ne peut être exploitée que durant la phase d’installation, mais si le pirate y arrive, il peut obtenir le contrôle de la machine.
La brèche ne peut pas être exploitée à distance véritablement puisqu’elle requiert l’intervention « volontaire » de la victime. Cependant, même ainsi, Oracle considère tout de même la faille suffisamment sérieuse pour nécessiter un bulletin hors cycle, le conseil qui l’accompagne est cependant inusité car il n’est même pas recommandé de mettre à jour Java. Le problème résidant dans l’installeur, il faut simplement penser à récupérer l’exécutable pour être certain d’avoir la dernière révision en cas de réinstallation.
Les trois dernières versions majeures ont été mises à jour. Si vous téléchargez l’exécutable, il faut donc vous assurer qu’il s’agit bien à chaque fois du dernier en date :
- Java 8 Update 79
- Java 7 Update 97
- Java 6 Update 113
Comme indiqué par Eric Maurice sur le blog d’Oracle, toutes les versions précédentes sont vulnérables.
Commentaires (24)
#1
Je n’ai qu’une 8.73 à télécharger chez Java (du 05/02). Aucune trace d’une 8.79 pour le moment.
Et le blog fait bien mention d’une 8.73.
#2
Pour la Java 8 je confirme que c’est bien une 8.73 qui mentionne bien la CVE en question.
#3
Ouaip, 8.73.
#4
En même temps, à partir du moment où un pirate envoie un exécutable et que l’utilisateur est assez naïf pour l’exécuter, il peut faire ce qu’il veut, installateur de Java ou pas.
#5
#6
Au hasard, une version d’open office qui demandait le Java, et se débrouiller pour fournir son installeur java
(du genre offline installeur, prenez le sur mon site, etc)…
(remplacer Open Office par n’importe quel logiciel dont vous pourriez être tenté d’utiliser un exe fourni par un tiers).
Encore au hasard: word piraté (mais bon là, on l’a cherché aussi)
#7
Oui, mais ce n’est pas spécifique à l’installateur Java. N’importe quel exécutable peut être une menace, alors à partir du moment où le pirate réussi à convaincre un utilisateur à exécuter un exécutable, le mal est fait…
#8
Je suis un homme simple et comme toujours quand la notification java pop, je click sur suivant sans poser de question… depuis toujours, encore et encore :]
#9
#10
Et voilà, on l’aurait pas imaginé, Java l’a fait ! Une faille critique dans l’installeur ! " />
#11
#12
Pour le JRE, ce n’est même pas la 73, mais la 74…
http://www.oracle.com/technetwork/java/javase/downloads/jre8-downloads-2133155.h…
#13
J’ai “signalé l’erreur”, mais j’ai l’impression qu’il y a une erreur dans la description de la faille.
Slashdot a donné une version plus “imagée” dans cet article :http://developers.slashdot.org/story/16/02/08/220233/java-installer-flaw-shows-w…
La faille est que sur un site ton navigateur va télécharger un fichier DLL “vérolé”, mais qui donc en lui même est inoffensif. Mais lors de la prochaine installation de Java, l’installer vas aller rechercher la DLL dans le rep download au lieu d’aller chercher la version dans ton rep system.
C’est pas parfaitement clair, mais c’est bien ce que dit CVE-2016-0603 :
To be successfully exploited, this vulnerability requires that an unsuspecting user be tricked into visiting a malicious web site and download files into the user’s system before installing Java SE 6, 7 or 8. Though relatively complex to exploit, this vulnerability may result, if successfully exploited, in a complete compromise of the unsuspecting user’s system.
#14
Si je comprend bien la faille ce ne sont pas les seuls :
http://it.slashdot.org/story/16/02/08/193244/researcher-finds-tens-of-software-p…
#15
Mince, je croyais que la faille critique dans l’installateur Java, c’était la barre d’outil Ask … " />
#16
lien vers la 8.74 :
http://www.majorgeeks.com/files/details/sun_java_runtime_environment.html
#17
#18
Pourtant à la base, c’est un véritable constat : Java = programme sponsor qui s’installe (pour les néophytes “nan j’ai pas installé ça, j’ai juste fait Suivant”).
#19
On dirait du Corneille dans le cid:
“ O racle, oh désespoir …”
#20
#21
+1
#22
#23
Ben prochaine étape, la faille pour le désinstalleur…" />
#24
Bon bah ca tombe bien :
l’interface chaise clavier (qui est une passoire) installe un soft (Java) qui est une passoire, avec un installer qui est une passoire, sur un OS qui est une passoire.
La boucle est bouclée, en un sens.
Un maillon sécurisé dans la chaine, ca aurait fait mauvais genre.