Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

[MàJ] Oracle colmate la faille dans Java et relève le niveau de sécurité

Correction express
Mise à jour : La société Security Explorations, par la voix de son PDG Adam Gowdiak, a publié un long billet explicatif sur Seclists.org expliquant que le patch d’Oracle était incomplet. De fait, le correctif ne fonctionne pas complètement et plusieurs types d’exploitations peuvent donc continuer. Gowdiak a par ailleurs indiqué à Reuters que Security Explorations ne pouvait en conséquence toujours pas conseiller « aux utilisateurs qu’il est sûr de réactiver Java ».

Nous vous prévenions vendredi qu’une faille critique dans Java était déjà exploitée et avait le potentiel de faire de nombreux dégâts. Oracle, visiblement conscient du caractère exceptionnel de la situation, a réagi promptement.

Vendredi 11 janvier, nous avertissions d’une faille critique dans Java, y compris dans la dernière mouture entièrement mise à jour (version 7 Update 10). Un applet Java conçu spécialement pour exploiter cette faille pouvait tromper le Security Manager pour provoquer une escalade dans les privilèges et ainsi obtenir les pleins pouvoirs. De fait, un simple site pouvait se transformer en distributeur de malwares en tous genres, notamment de keyloggers (enregistreurs de frappe).

 

java

 

Kaspersky indiquait par exemple avoir découvert une exploitation de plus en plus massive de la faille sur des sites tout ce qu’il y a de plus classique. La recette utilisée passe souvent par des publicités qui, une fois cliquées, renvoient vers des domaines hébergeant l’implémentation de la faille par un kit d’exploitation tel que Red Kit, Blackhole ou encore Nuclear. L’éditeur de solutions de sécurité a par ailleurs publié une carte montrant les zones les plus touchées. On notera que la Russie, les États-Unis ou encore l’Allemagne et le Brésil sont nettement plus touchés.

 

Toutefois, Oracle vient de mettre à jour Java via une mouture « Update 11 ». L’éditeur y apporte deux modifications. D’une part, la faille elle-même est colmatée, court-circuitant de fait l’ensemble des exploitations en cours. La nouvelle version peut se télécharger depuis le site officiel d’Oracle ou depuis le panneau de contrôle Java dans le panneau de configuration ou équivalent.

 

java

 

D’autre part, le niveau de sécurité par défaut de Java a changé. Il passe en effet de « Moyen » à « Élevé ». Cela modifie la manière dont les applets qui n’ont pas été signés seront exécutées dans la sandbox (espace mémoire isolé). Dans la pratique, et comme l’explique Oracle, les utilisateurs exécutaient les applets de manière transparente si la dernière révision de l’environnement Java était installée. Désormais, tout applet génèrera automatiquement un avertissement demandant à l’utilisateur une confirmation avant l’exécution.

 

On rappellera tout de même que Java est de moins en moins utilisé sur le web. De fait, si vous ne vous en servez pas, il vaut mieux le désinstaller, ce qui vaut techniquement pour n’importe quel élément : moins il y a de composants tiers sur un ordinateur, moins la surface de code exploitable est importante. Pour ceux qui auraient besoin de Java (les joueurs de Minecraft par exemple), il est possible de le désactiver uniquement pour le navigateur depuis son panneau de gestion, dans l’onglet Sécurité.

36 commentaires
Avatar de snoopy1492 INpactien
Avatar de snoopy1492snoopy1492- 14/01/13 à 08:57:53

Signaler ce commentaire aux modérateurs :

Hmm, c'était bien rapide tout ça... Je vais attendre d'avoir des retours sur ce patch avant de réactiver java... Je vais ptet même le laisser comme ça

Avatar de jeje07 INpactien
Avatar de jeje07jeje07- 14/01/13 à 09:02:00

Signaler ce commentaire aux modérateurs :

avec firefox 18, java est désactivé par défaut, en tout cas sur ma machine. et perso je n'ai aucun problème pour surfer sans java, donc question : ça sert à quoi java?

au passage j'ai découvert une extension sympa :

https://addons.mozilla.org/fr/firefox/addon/quickjava/

et pour vérifier si vos plugins sont à jour :

https://www.mozilla.org/fr/plugincheck/

Avatar de Angelus69 INpactien
Avatar de Angelus69Angelus69- 14/01/13 à 09:03:09

Signaler ce commentaire aux modérateurs :

Fait un moment qui est plus sur mes machines

Avatar de Gilbert_Gosseyn Abonné
Avatar de Gilbert_GosseynGilbert_Gosseyn- 14/01/13 à 09:06:25

Signaler ce commentaire aux modérateurs :

Et en ce qui concerne le Java 6 ?

Edit > Javaz est toujours nécessaire sur des intranets et autres sites "métier" donc se tenir à jour est nécessaire.

Édité par Gilbert_Gosseyn le 14/01/2013 à 09:07
Avatar de jeje07 INpactien
Avatar de jeje07jeje07- 14/01/13 à 09:08:32

Signaler ce commentaire aux modérateurs :

Gilbert_Gosseyn a écrit :

Et en ce qui concerne le Java 6 ?

Edit > Javaz est toujours nécessaire sur des intranets et autres sites "métier" donc se tenir à jour est nécessaire.

ben vu qu'on en est à la version 7.10, je dirais qu'il faudrait vite vite te mettre à jour. Les anciennes versions ont des failles, les nouvelles versions servent justement à corriger ces failles, entre autre.

Avatar de Gilbert_Gosseyn Abonné
Avatar de Gilbert_GosseynGilbert_Gosseyn- 14/01/13 à 09:16:48

Signaler ce commentaire aux modérateurs :

Pour Java 6, voir par ici : Java 6 update 38l

@jeje087 > On a encore des sites "métier" qui ne fonctionnent pas, du tout en java 7, d'où mon inquiétude.

J'ai pu noter au passage que le support de la branche 6 serai stoppé courant février de cette année ...

Édité par Gilbert_Gosseyn le 14/01/2013 à 09:18
Avatar de june Abonné
Avatar de junejune- 14/01/13 à 09:26:33

Signaler ce commentaire aux modérateurs :

Cette faille ne touche que Java 7. Java 6 et inférieur ne sont pas concernés.

Avatar de frscot INpactien
Avatar de frscotfrscot- 14/01/13 à 09:29:59

Signaler ce commentaire aux modérateurs :

jeje07 a écrit :

avec firefox 18, java est désactivé par défaut, en tout cas sur ma machine. et perso je n'ai aucun problème pour surfer sans java, donc question : ça sert à quoi java?

Comme dans la news precedente, par exemple ici pour dessiner une molecule (chimie): chembl, le site fait partie de ebi (European Bioinformatics Institute, pas un truc obscure).

Avatar de Mimoza Abonné
Avatar de MimozaMimoza- 14/01/13 à 09:31:53

Signaler ce commentaire aux modérateurs :

On rappellera tout de même que Java est de moins en moins utilisé sur le web

jeje07 a écrit :

ça sert à quoi java?

En "frontale" peut être mais derrière c'est l'un des langage, si ce n'est LE langage, le plus utilisé pour la création des sites web de grosse ampleur. PHP lui fait concurrence mais est plus visible par l’extension ".php" dans l'URL.
De même de nombre soft B2B sont en Java. Quand on regarde les offres d'emploi en dev, c'est LA compétence la plus demandé.
Sinon pour info un classement de réfenrece de l'utilisaton des langage de prog

Avatar de anonyme_95bde7ad91b4483068f10094cf1c28ca INpactien

Signaler ce commentaire aux modérateurs :

En "frontale" peut être mais derrière c'est l'un des langage, si ce n'est LE langage, le plus utilisé pour la création des sites web de grosse ampleur. PHP lui fait concurrence mais est plus visible par l’extension ".php" dans l'URL.
De même de nombre soft B2B sont en Java. Quand on regarde les offres d'emploi en dev, c'est LA compétence la plus demandé.
Sinon pour info un classement de réfenrece de l'utilisaton des langage de prog

le 'Par derrière' comme tu dis, n'est pas concerné par les failles de sécurité des JVM utilisées par le browser.

Il n'est plus possible de commenter cette actualité.
Page 1 / 4