IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Java Discussion :

Faille de sécurité critique dans Java 7 Update 6


Sujet :

Java

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Expert éminent
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 482
    Par défaut
    Citation Envoyé par wax78 Voir le message
    Merde j'ai raté l'occasion d'être riche cette année ^^
    Reve pas c'est du java serveur, pas concerné par ce problème d'appelt

  2. #2
    Modérateur
    Avatar de wax78
    Homme Profil pro
    Chef programmeur
    Inscrit en
    Août 2006
    Messages
    4 092
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : Belgique

    Informations professionnelles :
    Activité : Chef programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2006
    Messages : 4 092
    Par défaut
    C'était une vanne hein
    (Les "ça ne marche pas", même écrits sans faute(s), vous porteront discrédit ad vitam æternam et malheur pendant 7 ans)

    N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  3. #3
    Rédacteur/Modérateur
    Avatar de andry.aime
    Homme Profil pro
    Inscrit en
    Septembre 2007
    Messages
    8 391
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Ile Maurice

    Informations forums :
    Inscription : Septembre 2007
    Messages : 8 391
    Par défaut
    Ce n'est pas que java 7 mais java 6 aussi est concerné sauf que ce n'est pas critique que celui de 7. http://www.oracle.com/technetwork/to...1-1835715.html

  4. #4
    Futur Membre du Club
    Profil pro
    Inscrit en
    Novembre 2007
    Messages
    5
    Détails du profil
    Informations personnelles :
    Âge : 60
    Localisation : France

    Informations forums :
    Inscription : Novembre 2007
    Messages : 5
    Par défaut
    bonsoir ,
    java7 update 7

    dispo sur http://java.com/fr/download/manual.jsp

    ne sait pas s'il elle comble la faille de sécurité silence radio pour l'instant

    http://www.oracle.com/technetwork/ja...ads/index.html

    Mise à jour Java SE 7 7 Paru
    Cette mise à jour corrige des vulnérabilités de sécurité récentes. Oracle recommande vivement à tous les utilisateurs de Java SE 7 jour vers cette version.
    http://www.oracle.com/technetwork/ja...iew/index.html

  5. #5
    Membre éprouvé
    Avatar de Pelote2012
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mars 2008
    Messages
    925
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 44
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2008
    Messages : 925
    Billets dans le blog
    2
    Par défaut
    Je suis tout à fait d'accord avec toi JoeChip
    Nan mais bon, si une seule faille dans un seul sous-sytème met en cause la sécurité de tout votre système, c'est qu'il n'est tout simplement pas sécurisé, quoi. Un peu comme un bateau qui coulerait dès qu'il pleut...
    Les OS devrait être beaucoup plus strict. Ce serait déjà un premier pas... après tous les éditeurs devrait faire plus attention à ce qu'ils sorte

  6. #6
    Membre Expert

    Femme Profil pro
    Ingenieur en informatique
    Inscrit en
    Février 2011
    Messages
    67
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 35
    Localisation : France

    Informations professionnelles :
    Activité : Ingenieur en informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2011
    Messages : 67
    Par défaut Java : encore une nouvelle faille critique, 1,1 milliard d’utilisateurs concernés par cette vulnérabilité
    Java : encore une nouvelle faille critique
    1,1 milliard d’utilisateurs concernés par cette vulnérabilité de Java 5, 6 et 7


    C’est à la société polonaise de recherche de vulnérabilités « Security Explorations » qu’on doit la malheureuse découverte d’une nouvelle faille critique dans la plateforme Java 7. Ses chercheurs ont détecté un bogue dans le correctif publié par Oracle le 30 août dernier (lire ci-avant).


    Désormais aucun utilisateur des navigateurs Web, à savoir Chrome, Firefox, Opera, Safari ou Internet Explorer (dotés d'un plug-in Java activé) n’est à l’abri. En effet, cette faille peut entraîner une intrusion qui prendrait le contrôle complet sur une machine se connectant à un site Web malveillant. En guise de solution d'urgence, plusieurs experts recommandent la désactivation du plug-in.

    Les chercheurs de Security Explorations ont déclaré à la presse que cette faille de sécurité autorise une attaque pouvant accéder à tout ordinateur, y compris les Macs d'Apple. Cette faille risque même d’affecter les anciennes versions de Java notamment Java 5 et Java 6, ce qui mettrait en péril un total de 1,1 milliard d’utilisateurs, chiffre déclaré dans le site officiel de Java.

    Adam Gowdiak, fondateur et PDG de « Security Explorations » a déclaré, un brin moqueur, sur la liste de diffusion BugTraq : « Nous espérons que la nouvelle d'un milliard d'utilisateurs d'Oracle Java SE étant vulnérables à une nouvelle faille de sécurité ne va pas gâcher le goût du [café] matinal de Larry Ellison ».


    Gowdiak explique que cette faille permet de violer une contrainte de sécurité fondamentale de la Machine virtuelle Java en rapport avec la sûreté du typage.

    Il est clair qu'Oracle devra attendre longtemps avant de restaurer la confiance secouée en la fiabilité de ses plug-ins. Que va-t-il se passer à présent ? Les utilisateurs sont-ils obligés d’attendre à chaque fois un rapport de vulnérabilités avant d’installer n'importe quelle version de Java ? Ou devront-ils abandonner Java pour de bon ?

    Ambiance, ambiance en perspective pour la conférence imminente JavaOne 2012...


    Rapport détaillé sur la faille
    Instructions pour désactiver Java de n'importe quel navigateur Web

    Sources : Forbes, site officiel de Java

  7. #7
    Membre éclairé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2008
    Messages
    836
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Décembre 2008
    Messages : 836
    Par défaut
    J'ai envie de dire 2 choses: "Encore?" et "J'adore le nouveau logo java il va bien avec la vanne de Mr Gowdiak"

    En tout cas, ce qui est sûr, c'est que c'est une véritable pluie de faille qui tombe sur java 7.
    Problèmes de jeunesse peut-être (je ne sais pas quand il est sorti?)...

  8. #8
    Expert éminent
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 482
    Par défaut
    Citation Envoyé par Freem Voir le message
    Problèmes de jeunesse peut-être (je ne sais pas quand il est sorti?)...
    Il y a un an, 2 mois et 19 jours

  9. #9
    Rédacteur/Modérateur
    Avatar de andry.aime
    Homme Profil pro
    Inscrit en
    Septembre 2007
    Messages
    8 391
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Ile Maurice

    Informations forums :
    Inscription : Septembre 2007
    Messages : 8 391
    Par défaut
    Citation Envoyé par nissacomet Voir le message
    1,1 milliard d’utilisateurs concernés par cette vulnérabilité de Java 5, 6 et 7
    Il parle de tous les utilisateurs java là ou bien seulement qui ceux utilisent les plugins pour les applets?

  10. #10
    Membre éclairé
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    351
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 351
    Par défaut
    Ça a pas de sens pour un programme java qui tourne en dehors de la sandbox , vu qu'il peut déjà exécuter le code qu'il veut.
    Après c'est l'OS qui peut restreindre l'application et demander à l'utilisateur si il est d'accord pour lui donner les droits.

  11. #11
    Membre émérite Avatar de JoeChip
    Profil pro
    Inscrit en
    Septembre 2008
    Messages
    536
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Septembre 2008
    Messages : 536
    Par défaut
    Uniquement les applets, sinon je ne vois pas comment ce serait possible. 'Suffit que le plugin ne démarre qu'à la demande... Ou que n'importe quel autre système de sécurité, genre firewall ou antivirus ou surveilleur de n'importe quoi soit installé pour que ça marche pas...

  12. #12
    Membre confirmé
    Profil pro
    Inscrit en
    Juillet 2010
    Messages
    80
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2010
    Messages : 80
    Par défaut
    Une petite question : pour exploiter cette faille sous windows il faut bien que la victime soit sous une session avec des droits forts (admin) non?

    Si je n'ai que les droits d'un simple utilisateur : suis je "protégé"?

  13. #13
    Membre éclairé
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    351
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 351
    Par défaut
    pour exploiter cette faille sous windows il faut bien que la victime soit sous une session avec des droits forts (admin) non?
    Je ne suis pas un expert mais pour moi oui évidement , si tu es sous vista, seven, windows 8 avec l'UAC d'activé le programme ne pourra pas faire beaucoup de mal ...

    Bon sur XP en admin ou un windows avec l'UAC désactivé , oui la c'est clair qu'il peut exécuter ce qu'il veut sur la machine.

    Mais bon il reste encore à passer l'antivirus, par exemple si tu essaie d’exécuter le code donné sur la première faille, l'antivirus MSE le bloc sans problème et ça dès l'annonce qui a été faite sur le forum.

    Sur les 1 milliard il doit pas avoir beaucoup de pc ou on peut exploiter réellement cette faille mais bon ça doit faire quand même quelques millions de machines à exploiter.

  14. #14
    Expert éminent
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 482
    Par défaut
    Citation Envoyé par Elendhil Voir le message
    Je ne suis pas un expert mais pour moi oui évidement , si tu es sous vista, seven, windows 8 avec l'UAC d'activé le programme ne pourra pas faire beaucoup de mal ...
    Mouais, chez l'utilisateur lambda, tu en profite pour déposer un paquet MSI (ça pas besoin de l'UAC) que t'appelle firefox update et qui attends gentillement que tu ferme ton firefox pour ensuite demander les droits à l'UAC.

    Et hop, un joli "firefox update veux modifier votre machine".

    Combien vont cliquer non?

  15. #15
    Membre Expert Avatar de fregolo52
    Homme Profil pro
    Développeur C
    Inscrit en
    Août 2004
    Messages
    2 366
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur C

    Informations forums :
    Inscription : Août 2004
    Messages : 2 366
    Par défaut
    Citation Envoyé par Elendhil Voir le message
    Sur les 1 milliard il doit pas avoir beaucoup de pc ou on peut exploiter réellement cette faille mais bon ça doit faire quand même quelques millions de machines à exploiter.
    Oui si je comprends bien cette faille est dans les derniers versions des JRE. c'est bien ça ? Si oui, ouf ! je ne suis pas à jour. (mais c'est peut-être pire)

  16. #16
    Membre éclairé
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    351
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 351
    Par défaut
    tu en profite pour déposer un paquet MSI (ça pas besoin de l'UAC) que t'appelle firefox update et qui attends gentillement que tu ferme ton firefox pour ensuite demander les droits à l'UAC.
    Ah oui c'est malin ça !

  17. #17
    Modérateur

    Homme Profil pro
    Développeur java, access, sql server
    Inscrit en
    Octobre 2005
    Messages
    2 713
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur java, access, sql server
    Secteur : Industrie

    Informations forums :
    Inscription : Octobre 2005
    Messages : 2 713
    Par défaut
    Citation Envoyé par fregolo52 Voir le message
    Oui si je comprends bien cette faille est dans les derniers versions des JRE. c'est bien ça ? Si oui, ouf ! je ne suis pas à jour. (mais c'est peut-être pire)
    Ben non, il est question de toutes les versions 5,6,7
    Labor improbus omnia vincit un travail acharné vient à bout de tout - Ambroise Paré (1510-1590)

    Consulter sans modération la FAQ ainsi que les bons ouvrages : http://jmdoudoux.developpez.com/cours/developpons/java/

  18. #18
    Membre éclairé
    Profil pro
    Inscrit en
    Décembre 2010
    Messages
    555
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2010
    Messages : 555
    Par défaut
    Citation Envoyé par Elendhil Voir le message
    Je ne suis pas un expert mais pour moi oui évidement , si tu es sous vista, seven, windows 8 avec l'UAC d'activé le programme ne pourra pas faire beaucoup de mal ...
    Ou pas.
    Dans ses paramètres par défaut, l'UAC ne demande pas souvent ton avis (dû aux plaintes des utilisateurs depuis Windows Vista).
    Pire encore, la technique du "ça marche pas ? désactive ton antivirus et ton pare-feu, puis recommence" (made by bidouilleur du dimanche, voir un éditeur pour un installer un DRM) est assez répandue...

  19. #19
    Membre chevronné Avatar de Drakiss
    Homme Profil pro
    Consultant MOE
    Inscrit en
    Octobre 2010
    Messages
    185
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : Consultant MOE
    Secteur : Finance

    Informations forums :
    Inscription : Octobre 2010
    Messages : 185
    Par défaut
    Surréaliste !
    Ca m'a permis de me réveiller de bon pied, merci beaucoup :-)
    Pour la news je dirai que travaillant exclusivement en java, je vais commencer à avoir peur...

  20. #20
    Membre éclairé
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    351
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 351
    Par défaut
    un petit milliard de disques durs effacés à cause d'une faille 0day dans un plugin hyper répandu comme flash ou java
    En même temps une faille "zero day" tu peux en avoir une sur ton navigateur qui exécute du code tiers javascript tous les jours, ton système d'exploitation etc ...

    Combien de failles de sécurité ont été "patché" sur chrome ou firefox ?

Discussions similaires

  1. Faille de sécurité critique dans Java 7 activement exploitée
    Par Hinault Romaric dans le forum Général Java
    Réponses: 114
    Dernier message: 25/04/2013, 11h48
  2. Découverte d’une faille de sécurité critique dans iOS
    Par Hinault Romaric dans le forum Apple
    Réponses: 3
    Dernier message: 16/11/2011, 18h17
  3. Faille de sécurité critique dans le navigateur Opera
    Par Hinault Romaric dans le forum Opera
    Réponses: 6
    Dernier message: 21/10/2011, 13h52
  4. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 11h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo