Une faille très sérieuse dans Java 1.7 est apparue le 26 août, à la faveur d’une annonce de FireEye, une société de sécurité. Outre la dangerosité elle-même de la faille, aggravée par les détails de son exposition, on apprend aujourd'hui que Oracle était informé de cette faille depuis avril 2012.
Ce n’est pas la première fois qu’apparaît une faille Java 0-day, c’est-à-dire exploitée avant même que le public ne soit au courant et protégé. La faille est critique, car elle peut être exploitée à distance, depuis un serveur infecté et des applets Java spécialement conçus. Une faille d’autant plus dangereuse qu’elle peut être exploitée sur tous les systèmes. Cependant, la brèche désormais connue sous l’appellation CVE-2012-4681 a davantage marqué les esprits par un concours malheureux d’évènements qui pose aujourd’hui la question de la responsabilité.
Tout commence avec la révélation de FireEye le 26 août. La société révèle une série de détails à propos d’une trouvaille intervenue dans le cadre d’une attaque spécialisée sur l’un de ses clients (une version que contredit Eric Romangne de Zataz). La présentation de FireEye est le départ d’une course entre les chercheurs qui vont s’empresser de trouver ladite faille grâce aux informations fournies. L’objectif : publier des rapports plus complets et des codes de démonstration (PoC, Proof of Concept).
Les kits d'exploitation ont été rapidement mis à jour
Ici, la situation dérape, car la frontière est mince entre l'information et son exploitation. Rapidement, des kits d’exploitation de failles vont intégrer ces données pour se mettre à la page. C’est le cas notamment du Blackhole Exploit Kit qui bénéficie d’une annonce de son auteur à ce sujet. L’éditeur antivirus Sophos publie d’ailleurs un billet sur son blog pour le confirmer, dans lequel non seulement il recommande de désactiver Java mais accuse également Oracle (qui possède Java) d’être au courant depuis le mois d’avril.
Comme l’indique Eric Freyssinet, chef de la division de lutte contre la cybercriminalité de la gendarmerie nationale, d’autres kits d’exploitation suivent très rapidement. C’est le cas notamment de Sakura, suivi de près par Sweet orange. Dans la foulée, l’éditeur Rapid7 annonce que sa plateforme de tests d’intrusion Metasploit intègre également la nouvelle faille. Tout va très vite, au point qu’Eugène Kaspersky, fondateur de l’éditeur du même nom, se fâche sur Twitter et parle d’irresponsabilité dans les annonces :
The recent Java 0day activity raises questions abt irresponsibility of vulnerabilities reporting securelist.com/en/blog/208193…
— Eugene Kaspersky (@e_kaspersky) Août 28, 2012
Une exploitation active et le silence d'Oracle
Mais le vrai problème vient sans doute d’Oracle. Comme le précise Eric Freyssinet, il n’est pas rare qu’une faille ne soit pas corrigée tout de suite. Les grands éditeurs comme Oracle, Microsoft, Apple et ainsi de suite préfèrent effectuer des roulements pour diffuser plusieurs correctifs d’un coup. Dans le cas d’Oracle cependant, la faille est connue depuis avril (l'avertissement du 2 avril 2012 de Security Explorations) et n’est toujours pas référencée sur le site. La prochaine publication de correctifs est prévue pour octobre, ce qui laisse au bas mot plus d’un mois aux auteurs de malwares pour exploiter la situation.
Et cette exploitation est déjà active. L’article de Kasperksy donnait déjà il y a deux jours une carte des sites contaminés :
Même si l’éditeur indique que seul Windows est véritablement visé pour l’instant, l’exploitation sur d’autres plateformes ne saurait tarder.
Désactiver Java
De fait, la désactivation de Java est désormais recommandée par plusieurs sources, dont la plus récente est Mozilla. Le père de Firefox indique en outre travailler sur une fonctionnalité qui sera active dans Firefox 18 au plus tard et permettant de n’activer Java qu’à la demande, le navigateur affichant une demande d’autorisation pour exécuter un code (click-to-play).
Nous vous fournissons donc la méthode pour désactiver Java sur les principaux navigateurs.
- Internet Explorer
Se rendez dans les Options Internet, puis dans l’onglet Programmes. Cliquer sur « Gérer les modules complémentaires » et chercher Java dans la liste :
- Firefox
Se rendez dans le menu Outils, puis cliquer sur Modules Complémentaires :
- Chrome
Cliquer sur la clé à molette en haut à droite du navigateur, puis sur Paramètres. Cliquez sur le bouton Paramètres de contenu dans la zone « Confidentialité », puis sur le lien « Désactiver les plug-ins individuels » dans la partie « Plug-ins » :
- Safari
Se rendre dans les paramètres du navigateur, puis dans l’onglet Sécurité :
Commentaires (84)
#1
Java n’a rien à faire dans un navigateur hormis alourdir la machine. HTML5 doit être la référence.
#2
A confirmer mais je crois que cette faille ne concerne que Java 7 …
Donc désactiver Java n’est pas forcément nécessaire pour les autres versions …
#3
Oracle… faille… comportement de merde… comme d’hab quoi !
Savoir que son produit est un gruyère emmental et ne rien faire devrait être passible de lourdes sanctions !
#4
Java, c’est bien !
https://fbcdn-sphotos-f-a.akamaihd.net/hphotos-ak-prn1/533008_488341984510164_1067711081_n.jpg
" />
#5
La faille existe que sur java 1.7
#6
#7
Défaut de sécurisation… On leur coupe internet ?
#8
#9
C’est aussi ce que j’ai lu, que cette faille ne concerne que la version 7.
Dans le doute, je l’ai viré pour remettre la v6 u34
#10
Pour ma part je ne ai pas installer depuis le changement de mon pc et je me porte bien sans " />
#11
#12
Un beau graphique sans légende qui montre la terre c’est super utile !
C’est quoi le jaune, vert, rouge ?
#13
#14
#15
En pratique désactiver java, ça change quoi?
#16
#17
Oracle a racheté Sun pour faire du pognon, pas pour en dépenser à colmater les failles " />
#18
Je trouve ça irresponsable… Si la date est bien vérifiée (avril), c’est tout sauf professionnel de leur part.
" />
C’est à se demander si c’est pas des failles laissées volontairement en fonctionnement.
#19
Larry nous mène en bateau " />
#20
java cay2lamerde
#21
Euh, si j’ai bien compris, il faut accepter de lancer un applet spécialement conçu pour exploiter la faille.
Donc je si ne vais tout simplement pas sur des sites exploitant Java, je ne risque pas grand chose …
#22
Heureusement, j’ai Java 6 sur mon Mac. Mais comme MacGé s’en ait fait l’écho, la faille est belle et bien exploitée sur OS X, donc prudence.
#23
#24
Jave & Flash sont banni de mes machines, à part plus de rapidité quand je surf, j’ai pas vu de différence, donc j’imagine qu’ils ne me sont pas utiles ^^
#25
^^ à quand une attaque en justice pour ce genre de laisser aller…
Oracle la boite de merde, au moins elle confirme une fois de plus sa réputation. " />
#26
#27
#28
#29
Et pour opera ?
#30
J’imagine que cette faille ne touche pas IcedTea
#31
Apparemment, PCInpact a décidé de copier The Register. Continuez comme ça et vous perdrez une partie de vos lecteurs. Charité bien ordonnée commence par soi-même; vous encouragez les gens à désactiver Java alors que seul Java 1.7 est concerné et vous ne montrez pas l’exemple puisque dans cette capture vous n’utilisez pas Java 1.7 mais en plus votre version de Java 1.6 n’est pas à jour, vous utilisez l’update 17 alors qu’on est déjà à l’update 34 qui elle n’est pas concernée par cette faille:
référence
Je recommande plutôt aux gens de passer à Java 1.6 update 34 en attendant qu’Oracle veuille bien fournir une correction.
#32
#33
Se rendez…
Quoi ???
#34
Java coupé, avec Firefox " />
#35
Est-ce que Iced-Tea est affecté ?
#36
Tout va très vite, au point qu’Eugène Kaspersky, fondateur de l’éditeur du même nom, se fâche sur Twitter et parle d’irresponsabilité dans les annonces :
Il a raison en partie vue que les éditeurs d’outils de piratage test de pénétration surfent sur le buzz pour se faire voir, mais il pourrait aussi parler de l’irresponsabilité d’Oracle qui pour moi est bien plus condamnable. " />
#37
#38
#39
#40
#41
Et Hadopi, elle n’attaque pas Oracle ?
#42
#43
#44
#45
#46
#47
#48
#49
#50
#51
#52
#53
#54
#55
Un peu excessif de désinstaller Java pour une faille qui ne semble affecter que la version 7…
Il suffit, comme certains l’ont déjà fait, de réinstaller provisoirement, à la place la version 6 !
Quant à traiter Java comme un langage pestiféré, parce que c’est Oracle qui a racheté Sun, là aussi il-y-a un peu d’abus : Il ne faudrait pas jeter le bébé avec l’eau du bain !
#56
#57
#58
Et oui Oracle n’est pas Sun qui veut.
#59
#60
#61
#62
#63
#64
#65
#66
#67
#68
#69
#70
#71
#72
#73
L’update 7 corrigeant la faille a été publié.
#74
#75
comme d’hab oracle fait n’imp..
bon c’est pas comme si un oracle arrivait a faire des prédictions ou voir le futur.
faut pas deconner non plus…
#76
#77
#78
#79
#80
Ca faisait longtemps que je n’avais pas lu une personne qui défend intelligemment ses arguments.
PS: j’ai appris un nouveau mot “péremptoirement”, merci gouessej " />
#81
#82
#83
J’avais dis que je ne reviendrais pas sur ce thread, mais j’ai pas pu m’en empêcher :
https://isc.sans.edu/diary.html?storyid=14017&rss
Nouvelle vulnérabilité dans Java 7 update 7 " />
@ gouessej : Je ne répondrais pas à ton dernier message, ce débat est stérile et nous ne serons clairement jamais d’accord. Surtout que tu as l’air de prendre un malin plaisir à tout recentrer sur Java lui même et non sur le plugin Java. Il me semblait pourtant avoir été suffisamment clair, il faut croire que non. “Je me soucie de la sécurité.” m’a juste fait éclater de rire, réellement.
#84