Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Deux nouvelles failles pour Java : une qualité de code « inquiétante »

Les semaines se suivent et se ressemblent

Une semaine après la correction par Oracle d’une faille de sécurité critique dans Java, ce dernier est à nouveau victime de deux brèches. Une accumulation telle de problèmes que la société à l’origine de ces découvertes, Security Explorations, se demande s’il n’y a pas un sérieux problème dans la qualité du code de Java 7.

java

 

Il y a une semaine, nous rapportions dans nos colonnes qu’une nouvelle faille Java avait été détectée. Présentée dans les versions Update 9 et 10 de Java 7, elle permettait à une page web spécialement conçue de faire exécuter un code arbitraire grâce à une escalade de privilèges en utilisant le Security Manager. Oracle avait corrigé la faille, mais la société Security Explorations avait par la suite précisé que le correctif n’était justement pas complet.

 

La même entreprise a publié vendredi sur le site Seclists.org un nouveau bulletin. C’est le PDG Adam Gowdiak qui prend à nouveau la parole pour expliquer que la faille qu’Oracle a corrigée seulement en partie ouvrait d’autres pistes d’exploration. Deux nouvelles failles ont été trouvées, et Gowdiak ajoute qu’Oracle a été averti dans la foulée, via notamment un Proof of Concept fonctionnel.

 

Interrogé par PC World, le PDG de Security Explorations a indiqué qu’il y avait « clairement quelque chose d’inquiétant dans la qualité du code de Java SE 7 », avant d’ajouter que le problème venait probablement d’une absence de Secure Development Lifecycle (ensemble de règles visant le développement sécurité d’un projet), ou peut-être d’un problème interne chez Oracle.

 

Notez que les nouvelles failles n’ont pas de rapport avec les anciennes. Gowdiak a de plus signalé que la dernière mise à jour 11 pour Java 7 avait introduit une barrière supplémentaire. Les applets Java ne peuvent en effet plus être lancés sans que l’utilisateur les ait acceptés via une boîte de dialogue. Il s’agit clairement pour lui d’un pas dans la bonne direction.

 

Enfin, on rappellera que l’intégration de Java dans le navigateur peut être coupée directement depuis le panneau de gestion correspondant. On trouve ce dernier dans le panneau de configuration sous Windows, ou encore dans Paramètres sous OS X. Cette intégration ne coupe pas Java, ce qui permettra par exemple aux joueurs de Minecraft de laisser l’environnement installé tout en ne courant pas le risque de voir une faille exploitée durant la navigation.

104 commentaires
Avatar de Naneday INpactien
Avatar de NanedayNaneday- 21/01/13 à 08:38:11

Java.. même le site officiel parait douteux..

Avatar de romainsromain Abonné
Avatar de romainsromainromainsromain- 21/01/13 à 08:40:50

Oracle quoi... Des fois je me demande si ils ont pas acheté sun surtout pour les royalties....

Avatar de Le-Glod INpactien
Avatar de Le-GlodLe-Glod- 21/01/13 à 08:41:21

C'est pas la fete a Broadway... :francais:

Avatar de Jiraiya-08 INpactien
Avatar de Jiraiya-08Jiraiya-08- 21/01/13 à 08:42:33

Les deux nouvelles failles concernent toujours les applets exécutées via les navigateurs ou non ?

Avatar de Jiraiya-08 INpactien
Avatar de Jiraiya-08Jiraiya-08- 21/01/13 à 08:42:33

(Doublon)

Édité par Jiraiya-08 le 21/01/2013 à 08:43
Avatar de Blastm INpactien
Avatar de BlastmBlastm- 21/01/13 à 08:43:09

en même temps, on n'a peut être aussi affaire qu'a une société de consulting qui essaye de se faire de la pub sur le dos d'un acteur connu :o

Avatar de Ricard INpactien
Avatar de RicardRicard- 21/01/13 à 08:46:32
Édité par Vincent_H le 21/01/2013 à 08:50
Avatar de ulhgard Abonné
Avatar de ulhgardulhgard- 21/01/13 à 08:48:27

C'est vrai que ça craint tout de même. Quand je vois le nombre de machines qui sont infectées par tout un tas de merde et sur lesquelles java est installé, voir pas à jour, je me dis qu'il va falloir bannir ce programme des PC lorsqu'il n'est pas absolument nécessaire.

Avatar de Groumfy INpactien
Avatar de GroumfyGroumfy- 21/01/13 à 08:50:50
Édité par Tolor le 21/01/2013 à 10:00
Il n'est plus possible de commenter cette actualité.
Page 1 / 11