IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Java Discussion :

Faille de sécurité critique dans Java 7 activement exploitée


Sujet :

Java

  1. #81
    Modérateur
    Avatar de wax78
    Homme Profil pro
    Chef programmeur
    Inscrit en
    Août 2006
    Messages
    4 086
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : Belgique

    Informations professionnelles :
    Activité : Chef programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2006
    Messages : 4 086
    Points : 8 005
    Points
    8 005
    Par défaut

  2. #82
    Membre habitué
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    Avril 2010
    Messages
    78
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Allier (Auvergne)

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : Industrie

    Informations forums :
    Inscription : Avril 2010
    Messages : 78
    Points : 170
    Points
    170
    Par défaut
    La notion d' "urgence" pour le correctif java est une notion plutôt relative, je trouve. La détection du problème ne date pas d'hier...

    J' espère que ce correctif sera suffisant pour la suite des evenements...

  3. #83
    Membre éprouvé

    Homme Profil pro
    Architecte technique
    Inscrit en
    Juin 2005
    Messages
    588
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Architecte technique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Juin 2005
    Messages : 588
    Points : 1 230
    Points
    1 230
    Par défaut
    Citation Envoyé par herve4 Voir le message
    La notion d' "urgence" pour le correctif java est une notion plutôt relative, je trouve. La détection du problème ne date pas d'hier...

    J' espère que ce correctif sera suffisant pour la suite des evenements...
    C'est clair hier le patch était déjà à disposition

    Sur quoi tu te bases pour dire que les deux failles étaient connues par Oracle depuis longtemps ? De son côté Oracle indique que les problèmes lui ont été remontées début février ! Tu aurais souhaité qu'ils retardent la sortie du patch 15 qui corrigeait des failles dites activement exploitées ?

    a+
    Philippe

  4. #84
    Rédacteur

    Avatar de danielhagnoul
    Homme Profil pro
    Étudiant perpétuel
    Inscrit en
    Février 2009
    Messages
    6 389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 74
    Localisation : Belgique

    Informations professionnelles :
    Activité : Étudiant perpétuel
    Secteur : Enseignement

    Informations forums :
    Inscription : Février 2009
    Messages : 6 389
    Points : 22 937
    Points
    22 937
    Billets dans le blog
    125
    Par défaut
    Suite à une emmerde, j'ai viré Java à la poubelle il y a deux jours et je ne vois vraiment pas pourquoi je le réinstallerais. Si un logiciel ne peut pas fonctionner sans, tant pis.

  5. #85
    Rédacteur/Modérateur

    Avatar de bouye
    Homme Profil pro
    Information Technologies Specialist (Scientific Computing)
    Inscrit en
    Août 2005
    Messages
    6 876
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 48
    Localisation : Nouvelle-Calédonie

    Informations professionnelles :
    Activité : Information Technologies Specialist (Scientific Computing)
    Secteur : Agroalimentaire - Agriculture

    Informations forums :
    Inscription : Août 2005
    Messages : 6 876
    Points : 22 940
    Points
    22 940
    Billets dans le blog
    53
    Par défaut
    A partir de Java 1.7.0 u21 (prévu pour être publié en avril), les Applets devront être signées (par un certificat reconnu par une autorité) pour s'exécuter dans le navigateur de manière "confortable" pour l'utilisateur (oui je sais ce n'est pas très clair comme terme).

    Si j'ai bien compris la FAQ en bas de l'article, les Applets non-signées afficheront un nombre plus important de boites de dialogues de sécurité et l'utilisateur pourra plus facilement terminer l'exécution d'un programme en cas de comportement dangereux.
    De plus Oracle se réserver le droit de restreindre encore plus le mode d'exécution des applet "self-signed" (avec un certificat temporaire généré par le developpeur lui-même) ou non-signées dans les mises à jour suivantes.

    Citation Envoyé par http://www.oracle.com/technetwork/java/javase/tech/java-code-signing-1915323.html
    During the February 19, 2013 Java Critical Patch Update (CPU)1, Oracle announced it’s intentions to deliver a new April 16, 2013 Java CPU release, Oracle Java SE 7 Update 21 (Java SE 7u21). In addition to delivering security remediation, Java SE 7u21 will also deliver some key security features. Most significant is a new requirement that all Java applets and web start applications using the Java plug-in to run in browsers be signed with a trusted certificate for the best user experience. Java supports code signing, but until Java SE 7u21 it was an optional feature. Requiring application code signing provides numerous security benefits to users.

    Java SE 7u21 will introduce changes to security levels on the Security Slider within the Java Control Panel encouraging authors and vendors of applications deployed using either Java applets or Java web start technology – applications distributed to end users at runtime via the web browser or network - to sign their code using a trusted certificate. Specifically, all Java code executed within the client’s browser will prompt the user. The type of dialog messages presented depends upon risk factors like, code signed or unsigned, code requesting elevate privileges, JRE is above or below the security baseline, etc. Low risk scenarios present a very minimal dialog and include a checkbox to not display similar dialogs by the same vendor in the future. Higher risk scenarios, such as running unsigned jars, will require more user interaction given the increased risk of exploitation to the desktop.

    Even the smallest changes in user experience are sometimes troublesome. We have considered how our changes impact user experience and it is our desire to find the best balance of security and user experience. Given the current climate around Java security in the browser, code signing is a valuable security control for protecting Java users.

  6. #86
    Membre chevronné
    Avatar de la.lune
    Homme Profil pro
    Directeur Technique
    Inscrit en
    Décembre 2010
    Messages
    545
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Comores

    Informations professionnelles :
    Activité : Directeur Technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Décembre 2010
    Messages : 545
    Points : 2 084
    Points
    2 084
    Par défaut
    Citation Envoyé par bouye Voir le message
    A partir de Java 1.7.0 u21 (prévu pour être publié en avril), les Applets devront être signées (par un certificat reconnu par une autorité) pour s'exécuter dans le navigateur de manière "confortable" pour l'utilisateur (oui je sais ce n'est pas très clair comme terme).
    En tout cas c'est une très bonne nouvelle

  7. #87
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 093
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 093
    Points : 209 774
    Points
    209 774
    Par défaut Lexsi démystifie les failles du plugin Java
    Lexsi démystifie les failles du plugin Java
    Et sort un guide qui explique comment contrôler la machine d’un utilisateur à distance

    Comme la communauté Java, le cabinet indépendant de conseil en sécurité de l’information Lexsi a remarqué les failles dans la sécurité du langage.

    Il a publié sur son blog la manière dont la librairie JNA (Java Native Access), qui facilite l’interaction avec la mémoire et l’exécution du code natif, pourrait être utilisée pour injecter du code à distance.

    Grâce à cette bibliothèque, la réservation d’un espace mémoire est rendue possible par l’objet Memory.

    La structure décrit six types de situations qui semblent présenter des forteresses de prime abord, mais qui peuvent être contournées :

    • l’utilisation d’une session graphique déportée type Citrix ou autre ;

    • l’ensemble des applicatifs installés sur la machine est à jour ;

    • un antivirus dont les définitions sont à jour est installé et actif ;

    • l’accès à internet est protégé par des équipements de type WAF, proxy HTTP authentifiant ;

    • un système de SRP (Software Restriction Policy) ne permet d’exécuter qu’une application : un navigateur internet ainsi que ses plugins (flash, java) ;

    • ce même système ne permet l’écriture des données qu’aux seuls endroits où le navigateur a la nécessité d’écrire des fichiers temporaires (cookie, cache, etc.).


    Elle va même jusqu’à fournir le code source et les lignes de commande pour perpétrer une telle action. En quelques lignes de code, un individu peut efficacement et simplement envoyer à distance une charge malveillante de type « meterpreter » de Metasploit en contournant l’ensemble de ces restrictions.

    Malgré les efforts d’Oracle pour améliorer la sécurité du langage, le plugin Java reste vulnérable à de nombreux types d’attaques. Les restrictions introduites par la société, notamment le blocage des applets non signés, permettent néanmoins de limiter les risques. Pour ceux qui n’utilisent pas le plugin, les chercheurs conseillent tout simplement de le supprimer.
    Source : blog Lexsi

    Et vous ?

    Que pensez-vous du geste de Lexsi ?
    Désactiver la JNA serait-il une solution aux problèmes causés par les failles de sécurité ?

  8. #88
    Membre émérite

    Profil pro
    Inscrit en
    Décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2003
    Messages : 3 995
    Points : 2 522
    Points
    2 522
    Par défaut
    Permettre l'exécution de code natif dans une applet est sans doute une mauvaise idée, effectivement. Ca casse un peu l'idée de bac à sable...

  9. #89
    Membre confirmé
    Profil pro
    Inscrit en
    Juillet 2007
    Messages
    156
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Juillet 2007
    Messages : 156
    Points : 540
    Points
    540
    Par défaut
    Je serais tenter de dire qu'Oracle ne fait pas son boulot. Mais loin d'être spécialiste, je pose plutôt la question : Oracle a-t-il fait son boulot quand on voit cette facilité apparente ?
    C'est délirant, non ?

  10. #90
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 635
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 635
    Points : 15 838
    Points
    15 838
    Par défaut
    Sauf que pour utiliser JNA, il faut avoir donner l'autorisation d’exécuter du code Java non sécurisé. Donc cette société enfonce une porte ouverte, a moins qu'elle ait trouvé un moyen d'utiliser JNA depuis la sandbox, ce qui ne semble pas être le cas.
    Si Lexsi viens de découvrir que Java permet de faire appel à du code natif, je m'inquiète vraiment de leur sérieux et je ne leur confierais certainement pas la moindre mission de sécurité.

    Citation Envoyé par Stéphane le calme
    Désactiver la JNA serait-il une solution aux problèmes causés par les failles de sécurité ?
    La question n'a pas vraiment de sens.
    JNA ne fait pas partie de Java et n'est pas désactivable. C'est juste une bibliothèque native que l'on peux ajouter à son application comme le sont SWT, LWJGL, ...
    Et comme il s'agit d'une bibliothèque native elle n'est de toute façon pas utilisable dans un applet si on n'a pas préalablement diminué la sécurité.

  11. #91
    Membre chevronné
    Inscrit en
    Mai 2006
    Messages
    1 364
    Détails du profil
    Informations forums :
    Inscription : Mai 2006
    Messages : 1 364
    Points : 1 984
    Points
    1 984
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Pour ceux qui n’utilisent pas le plugin, les chercheurs conseillent tout simplement de le supprimer.
    En meme temps, supprimer quelque chose qu'on n'utilise pas, c'est un peu le bon sens. Le probleme, c'est plutot pour ceux qui l'utilisent...

    Citation Envoyé par Traroth2
    Permettre l'exécution de code natif dans une applet est sans doute une mauvaise idée, effectivement. Ca casse un peu l'idée de bac à sable...
    Bah à partir du moment un un popup demande à l'utilisateur s'il accepte ou non que l'applet accede aux ressources, je vois pas trop le probleme. Apres tout, c'est pareil sur Android. L'utilisateur regarde de quoi a besoin une appli qu'il veut installer et accepte ou non l'installation.
    Parce que sinon, dans une applet, il ne serait pas possible d'utiliser pas mal de ressources interessantes comme par exemple les librairies OpenGL. Ce qui enleverait beaucoup de leur intéret...

  12. #92
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 635
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 635
    Points : 15 838
    Points
    15 838
    Par défaut
    Citation Envoyé par hwoarang Voir le message
    Bah à partir du moment un un popup demande à l'utilisateur s'il accepte ou non que l'applet accede aux ressources, je vois pas trop le probleme. Apres tout, c'est pareil sur Android. L'utilisateur regarde de quoi a besoin une appli qu'il veut installer et accepte ou non l'installation.
    Je suis d'accord, mais par contre, il faut avouer que le message d'avertissement de Sun/Oracle n'est pas assez dissuasif.
    Ils auraient du opter pour quelquechose du style de ce que fait Firefox pour les connexion non sécurisées, ce qui éviterait que les utilisateurs cliquent sur "oui" sans réfléchir :
    http://support.cdn.mozilla.net/media...-25-5809bb.jpg

  13. #93
    Membre éprouvé

    Homme Profil pro
    Architecte technique
    Inscrit en
    Juin 2005
    Messages
    588
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Essonne (Île de France)

    Informations professionnelles :
    Activité : Architecte technique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Juin 2005
    Messages : 588
    Points : 1 230
    Points
    1 230
    Par défaut
    Citation Envoyé par Uther Voir le message
    Je suis d'accord, mais par contre, il faut avouer que le message d'avertissement de Sun/Oracle n'est pas assez dissuasif.
    Ils auraient du opter pour quelquechose du style de ce que fait Firefox pour les connexion non sécurisées, ce qui éviterait que les utilisateurs cliquent sur "oui" sans réfléchir :
    http://support.cdn.mozilla.net/media...-25-5809bb.jpg
    Je crois que celà sera la cas sur la prochaine release...

  14. #94
    Invité
    Invité(e)
    Par défaut
    Bonjour

    Je vous rappelle que JNA (contrairement à JNI) ne fait pas partie de l'API standard Java, c'est une bibliothèque tierce, cela devrait être précisé dans l'article, c'est loin d'être un détail.

    P.S : Uther m'a doublé

    Citation Envoyé par Traroth2 Voir le message
    Permettre l'exécution de code natif dans une applet est sans doute une mauvaise idée, effectivement. Ca casse un peu l'idée de bac à sable...
    Comment accéder à OpenGL, OpenCL, OpenAL, OpenVG et OpenMAX sans code natif? Actuellement, on ne peut exécuter du code natif que dans une applet signée, pas dans une applet non signée.

  15. #95
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par la.lune Voir le message
    En tout cas c'est une très bonne nouvelle
    Cela sera un obstacle de plus pour les développeurs de jeux vidéo indépendants qui n'ont pas nécessairement les moyens de payer plusieurs centaines de dollars par an pour un certificat dit de confiance. Pour eux, ce n'est pas vraiment une bonne nouvelle. Un pirate peut très bien obtenir ce genre de certificat.

  16. #96
    Membre averti
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2011
    Messages
    442
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2011
    Messages : 442
    Points : 417
    Points
    417
    Par défaut
    Oui, surtout que je ne suis pas sûr de qui s'intéresse le plus à tes données personnelles entre les petits développeurs indépendants et les riches entreprises de développement qui auront le certificat...

    Après, si l'organisme de certification fait bien son travail, ça devrait quand même permettre à l'utilisateur de cerner à quel "degré" de danger il s'expose, non?

  17. #97
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 635
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 635
    Points : 15 838
    Points
    15 838
    Par défaut
    Les organismes de certification ne font que garantir l'identité de la personne, pas son honnêteté. A la limite ça permet à la justice de remonter à l'adresse de la personne mais je pense que même ça, ça doit être facile a falsifier.

    Et si le pirate te vole tes données personnelles, légalement en mettant une clause planquée au milieu de conditions d'utilisations interminable, il n'y a juste rien à faire.

  18. #98
    Membre actif
    Homme Profil pro
    recherche
    Inscrit en
    Octobre 2011
    Messages
    144
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : recherche
    Secteur : Distribution

    Informations forums :
    Inscription : Octobre 2011
    Messages : 144
    Points : 228
    Points
    228
    Par défaut java
    Bonsoir,

    Je souhaite une précision si la faille concerne les applets ou bien on peut l'exploiter sans la réponse de l'utilisateur ?
    Parce que un applet qui accède au disque dur si on dit oui au message je vois pas ou est la faille, c'est juste bluffer l'utilisateur lambda qui comme les active x va dire oui sans penser a mal.

    Car il me semble que metasploit auto signe les applets générer pour justement être en mesure d’exécuter le meterpreter.

    Enfin si vous pouvez m'éclairer.

    Merci.

  19. #99
    Expert éminent sénior Avatar de Uther
    Homme Profil pro
    Tourneur Fraiseur
    Inscrit en
    Avril 2002
    Messages
    4 635
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Orientales (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Tourneur Fraiseur

    Informations forums :
    Inscription : Avril 2002
    Messages : 4 635
    Points : 15 838
    Points
    15 838
    Par défaut
    En effet, il y a eu, récemment, des failles dans Java qui permettaient d’exécuter du code dangereux sans que l'utilisateur ne soit averti. Mais ces failles ont été corrigées et ne sont plus exploitables si on a une JVM à jour.

    L'article cité par contre se contente de présenter l'utilisation de JNA pour essayer de hacker un système sécurisé, mais c'est inutilisable sans accord de l'utilisateur, ou sans l'utilisation d'une faille(corrigées depuis).

  20. #100
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 093
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 093
    Points : 209 774
    Points
    209 774
    Par défaut 94 % des utilisateurs de Java seraient exposés à des exploits
    Mise à jour du 27/03/2013

    94 % des utilisateurs de Java seraient exposés à des exploits,
    75 % exécutent un ancien JRE, indique un rapport de Websense

    Avec les nombreuses failles qui touchent l’écosystème Java, les entreprises utilisant les applications Java seraient exposées à des attaques de pirates.

    En effet, il est rapporté par Websense que 94 % des terminaux faisant usage d’un logiciel Java sont vulnérables à un exploit au minimum sur le JRE.

    L’entreprise note cependant que bon nombre de ceux-ci exécuteraient une version dépassée de la plateforme Java. En effet, trois machines sur quatre utiliseraient un JRE vieux d’au moins six mois, selon la même enquête. Plus de 50 % accuseraient un retard de deux ans sur les mises à jour des correctifs de sécurité.

    Depuis des mois déjà, les utilisateurs ont été invités à désactiver Java de leur navigateur à cause des problèmes relatifs à sa sécurité.

    Pour les entreprises qui ont l’impératif d’utiliser Java sur un site en particulier, il est conseillé d’utiliser le JRE uniquement pour lui et de le désactiver ailleurs.

    Oracle recommande aux utilisateurs de Java 1.6 de migrer vers le JDK 7 pour recevoir des correctifs de sécurité (la version 1.6 étant en fin de cycle avec la sortie de sa mise à jour 43).

    Il faut noter par ailleurs que cette version dispose de nouvelles options de sécurité permettant que les applets non signés génèrent toujours un message d’avertissement à l’utilisateur avant d’être exécutés.

    Ces données sont à prendre avec modération, puisqu’elles ne concernent que les applications contrôlées par le service Websense. Données qui ont conduit au diagramme ci-dessous.


    Source : Websense

    Et vous ?

    Que pensez-vous de cette étude ? Les utilisateurs ne sont-ils pas les premiers à s’exposer en n’appliquant pas les mises à jour ?

Discussions similaires

  1. Faille de sécurité critique dans Java 7 Update 6
    Par Hinault Romaric dans le forum Général Java
    Réponses: 89
    Dernier message: 11/01/2013, 13h24
  2. Découverte d’une faille de sécurité critique dans iOS
    Par Hinault Romaric dans le forum Apple
    Réponses: 3
    Dernier message: 16/11/2011, 19h17
  3. Faille de sécurité critique dans le navigateur Opera
    Par Hinault Romaric dans le forum Opera
    Réponses: 6
    Dernier message: 21/10/2011, 14h52
  4. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 12h04

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo