Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Nouvelle faille déjà exploitée pour Java : prudence recommandée

Coupez Java dans le navigateur si vous ne vous en servez pas

Une faille a été repérée dans Java (version 7, mise à jour 9 et 10) qui permet « l’exécution de code arbitraire à distance » alerte le bulletin du CERTA.

java

 

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) conseille sans plus attendre et provisoirement « de désactiver Java tant qu’un correctif n’est pas diffusé par l’éditeur ». Et pour cause, la vulnérabilité dans le produit d’Oracle « permet une exécution de code arbitraire à distance au moyen d’une page Web spécialement conçue ». La faille n’est pas potentielle puisque « cette vulnérabilité est activement exploitée et largement diffusée » indique l’ANSSI.

 

Le Cert américain ajoute que cette attaque peut être menée par un utilisateur distant et non authentifié. Plus en détail, il faut savoir que chaque applet dans une page web ne peut s’exécuter que si un Security Manager est présent. Dans la plupart des cas, il s’agit de celui fourni par le navigateur, sinon de celui fourni par le plug-in Java Web Start. Une méthode permet à l’applet d’interroger la configuration pour savoir avec quels composants communiquer. Via plusieurs failles, un tel applet pourrait provoquer une escalade de privilèges pour obtenir du Security Manager les pleins pouvoirs.

 

Le principal problème de cette faille Java est qu’elle est exploitable et est déjà exploitée sur des installations entièrement à jour (Java 7 Update 10). En plus des organismes officiels de surveillance, la faille a été reproduite puis confirmée par AlienVault, qui avertit d’ailleurs dans son blog que les kits d’exploitation Blackhole et Nuclear Pack permettent déjà de l’utiliser.

 

java

 

Tous conseillent la désactivation temporaire de Java dans le navigateur web. La solution la plus simple, sous Windows, OS X ou autre, est de se rendre dans les paramètres de Java qui se trouvent dans le Panneau de configuration ou équivalent. De là, il faut cliquer sur l’onglet Sécurité puis désactiver la ligne concernant « le contenu Java dans le navigateur », ainsi que nous vous le montrons dans la capture ci-dessus.

70 commentaires
Avatar de scullder Abonné
Avatar de scullderscullder- 11/01/13 à 16:36:48

Signaler ce commentaire aux modérateurs :

http://cdn-static.zdnet.com/i/story/60/52/016505/killitwithfire.gif

(désolé)

Avatar de anonyme_5308cee4763677866e1421efa4474f79 INpactien

Signaler ce commentaire aux modérateurs :

Bonne année, Java !

Avatar de Muzikals Abonné
Avatar de MuzikalsMuzikals- 11/01/13 à 16:45:56

Signaler ce commentaire aux modérateurs :

M'en fout, je suis toujours avec la branche 6 \o/

Avatar de j-c_32 INpactien
Avatar de j-c_32j-c_32- 11/01/13 à 17:00:28

Signaler ce commentaire aux modérateurs :

Est-ce que cette faille est présente avec IcedTea ?

Avatar de dricks INpactien
Avatar de dricksdricks- 11/01/13 à 17:01:57

Signaler ce commentaire aux modérateurs :

Pour la nième fois, si il y a des gens qui ont encore cette saloperie d'activée, c'est qu'ils méritent de se faire infecter.

"Tous conseillent la désactivation temporaire de Java dans le navigateur web."
Moi, je conseille la désactivation ferme et définitive.

Avatar de ElRom16 INpactien
Avatar de ElRom16ElRom16- 11/01/13 à 17:09:22

Signaler ce commentaire aux modérateurs :

Coupez Java dans le navigateur si vous ne vous en servez pas

C'est ce que j'ai fais depuis une bonne année, quand j'ai eu le virus Gendarmerie, le seul virus que j'ai eu depuis que j'ai un pc, soit 10 ans

Et sans aucun troll, depuis l'avoir désactivé, je n'ai pas vu l'intéret de le remettre vu qu'aucun site ne l'utilise, en tout cas je recommence de pas l'installer, Java apporte trop de virus, et trop souvent

Comment totalement tuer Java aussi ....

Avatar de Hibben35 INpactien
Avatar de Hibben35Hibben35- 11/01/13 à 17:11:15

Signaler ce commentaire aux modérateurs :

Muzikals a écrit :

M'en fout, je suis toujours avec la branche 6 \o/

Idem, je ne savais même pas qu'il y avait une version 7...

Édité par Hibben35 le 11/01/2013 à 17:11
Avatar de 2show7 INpactien
Avatar de 2show72show7- 11/01/13 à 17:31:00

Signaler ce commentaire aux modérateurs :

Je suis aussi sous 6 avec Linux Mint 13 Maya

Avatar de Larsirion INpactien
Avatar de LarsirionLarsirion- 11/01/13 à 17:40:54

Signaler ce commentaire aux modérateurs :

perso je n'ai pas ça sur la capture java (j'ai juste le truc sur les certificats)
et dans les options avancées, il y a bien la désactivation pour IE et Mozilla... mais celle de IE est grisée et celle de mozilla revient à chaque fois que je fais "appliquer"...

perso, je m'en passerai volontiers de java mais jdownloader l'utilise... :-/

Avatar de Reznor26 INpactien
Avatar de Reznor26Reznor26- 11/01/13 à 17:46:43

Signaler ce commentaire aux modérateurs :

Larsirion a écrit :

perso, je m'en passerai volontiers de java mais jdownloader l'utilise... :-/

En vérifiant je viens de me rendre compte que "JDownloader" est la contraction de "Java Downloader".

Je mourrais moins bête ce soir tiens...

Il n'est plus possible de commenter cette actualité.
Page 1 / 7