Moralité, connue depuis des décennies : il ne faut JAMAIS se presser pour installer une nouveauté...
Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Moralité, connue depuis des décennies : il ne faut JAMAIS se presser pour installer une nouveauté...
En tout cas, Avira semble ne pas trop aimer l'exploit en question il le détecte directement (quand lancé dans eclipse, pas depuis un browser). Enfin, Jusqu'à ce que le code soit un peu modifié, et la plus de détection
Mais en applet dans le browser Avira ne bronche même pas
Mais Kevin pense que les nouvelles versions apportent plus de sécurité et de gadget, et ploufEnvoyé par JoeChip
. D'ailleurs les failles existent très souvent mais on utilise que les applications qui l'on pense plus fiable.
Mais Kévin n'aurait pas forcément tort, il y a des chances qu'une mise à jour répare certaines failles/bug.Mais Kevin pense que les nouvelles versions apportent plus de sécurité et de gadget, et plouf
Et de toute façon le tort n'est pas censé venir de l'utilisateur lambda qui n'est pas censé savoir que Java (ou Flash) est réputé pour avoir quelques failles.
bref, finalement, l'idée de microsoft de résoudre les problèmes en mettant tout le navigateur dans une sandbox, c'était pas si con
Sauf que non vu que l'on a également trouvé des moyen de contourner cette sandox
ouais mais du coup ça fait deux sandbox à contourner
Faille de sécurité critique dans Java 7
Oracle informé depuis avril 2012
Mise à jour du 30/08/2012
Depuis le début de cette semaine, l’écosystème Java est secoué par une faille de sécurité critique pouvant être exploitée pour installer des logiciels malveillants (lire ci-devant).
La vulnérabilité qui touche la version 1.7.x du JRE (Java Runtime Environment), peut être utilisée pour désactiver le SecurityManager et par conséquent le sandbox de Java pour exécuter du code arbitraire sur les systèmes vulnérables sans l’intervention de l’utilisateur.
Les experts en sécurité ont fait écho de cette faille après des analyses approfondies, révélant les systèmes d’exploitation touchés, les potentiels risques, les preuves de réalisation, etc.
Mais jusqu’ici, malgré tout ce remue-ménage, Oracle fait la sourde oreille et n’a encore publié aucun avis de sécurité ou annoncé une date pour une mise à jour. Ce qui parait le plus surprenant est qu’il semblerait que la société soit au courant de cette faille depuis avril 2012.
Le cabinet polonais Security Explorations avait publié un avertissement depuis le 2 avril 2012 et aurait informé Oracle, qui ne prendra même pas la peine de référencer le problème dans son bulletin d’alerte de sécurité.
Jusqu’ici, la page qui traite des questions de sécurité de la firme annonce la prochaine mise à jour de Java SE pour le 16 octobre 2012. Plus qu’à espérer que d’ici là, un correctif d’urgence soit publié.
Pour l’instant, les utilisateurs n’ont que comme alternative la désactivation du plug-in Java dans leur navigateur. Pour rappel, la faille touche Firefox sur Ubuntu 10.04, Internet Explorer, Chrome et Firefox sur Windows XP, Vista et Windows 7, Firefox et Safari sur Mac OS X 10.7.4.
Source : Avertissement de Security Explorations, Alerte d'Oracle sur la faille
Et vous ?
Que pensez-vous de l’attitude d'Oracle ?
Des fois je suis surpris de lire des articles comme celui-ci, je me dis que nous sommes peut-être quelques milliers d'informaticiens à lire ces infos et qu'il doit y avoir des centaines de milliers d'autres personnes qui n'en seront jamais au courant et qui seront peut-être affectés.
Pour moi JavaScript n'est pas un langage très au point, mais je pense que les gens préfèrent rester avec cela et utiliser des frameworks cache-misère (qui avouons le sont très pratiques pour développer) que d'apprendre un énième nouveau langage.Je ne comprend pas trop cette haine des plugins et l'émerveillement devant le javascript. Ce vieux langage pourris des années 90 que personne voulait utiliser.
Toutes ces années de recherches sur les Langages pour finalement imposer Javascript comme langage universel
Si Oracle est au courant depuis Avril, ça veut dire que ça concernait aussi Java 7 update 3, 4 et 5...
C'est pour ça que Firefox se permet de désactiver des plugins de temps en temps, en demandant à peine l'avis de la personne mal informée. On peut en dire ce qu'on veut en terme de comportement politique, en attendant c'est une sécurité accessible à tout le monde.
Spas un nouveau langage à apprendre, s't'un nouveau langage à adapter, sécuriser, accélérer, intégrer, déployer. Pas la même chose.
Et sinon... je sais que java a tendance à être installé par défaut sur nombre de machines, mais... vous en avez beaucoup vous, en tant qu'utilisateurs, des applications java? Ou vous en voyez beaucoup des applets java sur le net?
Quand j'y pense vraiment, je me dis qu'aucune machine parmi celles que j'utilise actuellement n'utilise java... Alors à part les terminaux mobiles d'android, qu'est-ce qui est réellement affecté?
Quand on dit "faut pas désinstaller java pour si peu" ok, mais... désinstaller les logiciels dont on ne se sert pas est aussi un élément de sécurité. Et je me demande vraiment si JAVA sert tant que ça... p'tet en entreprise avec les logiciels internes?
En tout cas, chapeau oracle pour la réactivité... plus de 4 mois sans corriger une faille d'une telle criticité, c'est impressionnant.
Entendu parler de Minecraft...?
jdownloader pour ma part.
@Freem : OpenSign, des applis gouvernementales belges comme Tax-On-Web...
La déclaration d'impôts en France, non ?
Sinon, il y a pas mal d'applis internes qui sont développées en java.
bonsoir ,
java7 update 7
dispo sur http://java.com/fr/download/manual.jsp
ne sait pas s'il elle comble la faille de sécurité silence radio pour l'instant
http://www.oracle.com/technetwork/ja...ads/index.html
Mise à jour Java SE 7 7 Paru
Cette mise à jour corrige des vulnérabilités de sécurité récentes. Oracle recommande vivement à tous les utilisateurs de Java SE 7 jour vers cette version.
http://www.oracle.com/technetwork/ja...iew/index.html
A partir du moment ou tu as désactivé la sandbox Java, tu peux faire appel à du code natif.ouais mais du coup ça fait deux sandbox à contourner
Android se base sur sa propre VM (un dérivé de Harmony), il n'est donc pas affecté.
Il est vrai que Java est très peu utilisé pour les applets.
Mais il reste encore utilisé pour les applications. Pour ne citer que celles de j'utilise régulièrement : Azureus, Minecraft, Eclipse, JEdit... Dans le cadre des applications locales, ce genre de faille est généralement sans conséquence.
Donc dire désinstaller Java est clairement abusé. Par contre désactiver le plugin du navigateur est une bonne idée si on n'en a pas usage, et même indispensable en ce moment.
Merde j'ai raté l'occasion d'être riche cette année ^^
Reve pas c'est du java serveur, pas concerné par ce problème d'appelt
Répondre avec citation
Partager