Une faille Java importante

Par Chrystelle, 30 août 2012 à 16:58 Sécurité 30 avis

Le cabinet de sécurité FireEye a découvert une faille de sécurité importante dans la dernière version de Java, Java 7 (update 6). Une faille extrêmement critique qui permet à une personne mal intentionnée de prendre le contrôle total de l’ordinateur d’une victime. En effet, cette faille autoriserait l’installation d’un code arbitraire avec l’aide d’un Applet Java intégré dans une page Web par exemple. Dans l’attente d’un correctif de la part d’Oracle, il est conseillé de désactiver Java, afin de se protéger d’éventuelles attaques.

Une faille connue
Pourtant, Oracle aurait été prévenu de cette faille par une société de sécurité polonaise, Security Explorations, depuis le 2 avril. La société avait même fourni des PoC (proof-of-concept), qui expliquaient comment ces failles pouvaient être utilisées. Malgré cela, la faille est toujours présente et elle est malheureusement exploitée, avec une variante du cheval de troie « Poison Ivy », utilisé pour le cyberespionnage. Cette faille peut être exploitée sur tous les navigateurs de n’importe quel OS : Mac OS X, Windows et Ubuntu. En espérant maintenant qu’Oracle publie rapidement un correctif.

Source

Favoris

Flux RSS des commentaires

Imprimer

Tags : faille java

30 avis Ajouter le votre

Afficher: Afficher tous

3rr0r404
30 août, 2012, 17:00 #1
La faille a même été inclue dans Metasploit pour ceux qui voudrait s’amuser
0 0
ludo7620
30 août, 2012, 17:00 #2
Maintenant Ubuntu = Gnu/linux ? :o
5 0
Taiki
30 août, 2012, 17:03 #3
Heu, reprenons:
« une faille » <- deux
"Ubuntu" <- parce que Fedora est protégé? Linux en général
Le correctif arrive dans le patch d'octobre… (après une révélationen avril et un patch de certains des bugs révélés en juin)
2 0
varoc
30 août, 2012, 17:06 #4
Pour ceux qui ont les fesses qui claquent, voila un article pour désactiver java : http://korben.info/comment-desactiver-java.html
0 0
yuri
30 août, 2012, 17:11 #5
put’1 mais lourd ou débile !!! ou les deux sans doute
vous nous faites chier avec vos questions de geek boutonneux « fedora ou machin chose »
non sur ta mère qu’elle est la faille connard !
1 4
Commentaire masqué : cliquez pour afficher le commentaire
yuri
30 août, 2012, 17:13 #6
put’1 mais qu est ce vous pouvez être lourd !
non elle est sur ta g u eule la faille crétin
0 5
Commentaire masqué : cliquez pour afficher le commentaire
Chocapix
30 août, 2012, 17:14 #7
faut arrêter la psychose hein… Un bon anti-virus + un bon anti malware et les attaques sont logiquement bloquées…
0 2
Commentaire masqué : cliquez pour afficher le commentaire
DolpaD
30 août, 2012, 17:15 #8
Oracle, jouissant d’un très démocratique monopole, peut nous faire allez dans le mur en moins de temps qu’il ne nous en faut pour jauger les conséquences.
0 1
Silencieux
30 août, 2012, 17:19 #9
@Chocapix « logiquement » oui mais l’attaque n’est pas bloquer pour autant.
le rageurs stop rage ici si vous avez lut l’article ailleurs ne cliquez pas sur la news.
0 0
Chocapix
30 août, 2012, 17:23 #10
@Silencieux je sais je sais… mais bon écoute, ça fait plus de 13 ans que j’utilise un ordi… et en 13 ans (parce que oui j’ai commencer à 7 ans =P ) j’ai jamais choper de virus ou quoi que ce soit sur le net… (si y en avait sur le DD c’était des mauvais DL mais stopper direct =P ) je pense que lorsqu’on fait attention à; avoir un antivirus correct, où on va, sur quoi on clique, il n’y a aucun soucis..
0 1
peaknoise
30 août, 2012, 17:25 #11
pour ce protéger suffit d’avoir un vrai fire-wall et c’est bon. Pas besoin de désactiver java
0 0
Sky
30 août, 2012, 17:36 #12
Ya des choses pas très claire dans l’article …
« dans la dernière version de Java, Java 7 (update 6) »
Dans toute les versions de la branche 7, pas uniquement la 7.6.
cf http://www.developpez.com/actu/47016/Le-nouvel-exploit-zero-day-de-Java-7-decortique/
« cette faille autoriserait l’installation d’un code arbitraire »
ça c’est le résultat final du code malveillant …
La faille en elle même ne fait « que » permettre de désactiver la sandbox et donc d’avoir un accès complet au systéme.
« elle est malheureusement exploitée, avec une variante du cheval de troie « Poison Ivy », utilisé pour le cyberespionnage. »
L’intégration de cette faille dans le framework « BlackHole » (et autre framework d’exploit du même genre) est bien plus préoccupante …
« Mac OS X, Windows et Ubuntu »
… heu depuis quand ubuntu représente tout les systèmes linux ?
0 0
taichimaro
30 août, 2012, 17:41 #13
Pour les dev Java, voici un petit morceau de code pour utiliser cette faille : http://pastie.org/pastes/4594319/text
0 0
rAnDoM
30 août, 2012, 17:42 #14
Yaura pas de fix officiel avant le 16 octobre, ils l’ont annoncé.
0 0
frag132
30 août, 2012, 18:37 #15
..En même temps Minecraft ca n’aide pas pour les failles..
MOUAHHAHAHAHAHAHAHAH
1 1
elrom16
30 août, 2012, 18:47 #16
Le virus Gendarmerie passe via cette belle merde de java
Faites comme moi l’installer pas, d’ailleurs j’en ai jamais eu besoin ces dernières années !!
0 1
Paul
30 août, 2012, 18:54 #17
Java = Javascript ? faut il décocher javascript ?
0 0
Yolélé
30 août, 2012, 19:34 #18
L’implémentation libre de java est clean, donc stop le FUD DolpaD
0 0
mpolo
30 août, 2012, 22:11 #19
Une faille Java c’est normal, Java est située sur une faille !
« les plaques tectoniques s’effondrent sous le Pakistan et l’Indonésie – une baisse de 20 pieds des berges de Java confirmée par Google Satellite ».
Bon puisque j’ai pompé je cite la source :
http://www.bing.com/search?q=java+techtonique&form=BIE9SE&pc=BIE9&src=IE-SearchBox
C’est pour rire bien-sûr, mais je n’ai plus les émoticons, alors je précise.
1 0
Nicolas
30 août, 2012, 23:27 #20
A voir:
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html
0 0
pakalatak
30 août, 2012, 23:46 #21
Chocapix : j’utilisait un pc avant que tu sois né et j’ai jamais eu besoin d’antivirus (ça me fait chier d’investir dans un proc pour l’utiliser à moitié à cause de ces machins, sans parler des bugs que ça génère).
D’ailleurs sous Linux la faille elle doit pas donner grand cho1se, tu peux essayer d’exécuter ton code mais il faut encore trouver une autre faille dans le système pour vraiment faire des dégâts. Je doute qu’un pirate s’ennuie à cibler un OS minoritaire…Enfin tous les goûts sont dans la nature.
0 0
jedema
31 août, 2012, 00:06 #22
Bonjour,
On va éclaircir quelques points :
1) Java et Javascript sont deux langages totalement différents. Donc aucune peur à avoir pour JS.
2) Deuxièmement @Chocapix, tu auras beau prendre toutes les précautions du genre à part désactiver JAVA, le désinstaller ou alors n’autoriser aucun applet tu seras toujours une victime potentielle. Si ton surf se résume à Google tu as peu de risques mais pour les autres on ne sait jamais. Même un site avec des admins de confiance. Un petit coup d’attaque XSS, puis ton JS insère dans le DOM de la page un applet JAVA et voilà le tour est joué.
3) @peaknoise : Un bon firewall ne changera pas grand chose puisque pour lui le contenu de l’applet sera légitime. Et puis avec un peu de chance la personne connectée sera administratrice et même pas besoin d’élévation de privilèges.
1 0
Shadow
31 août, 2012, 00:21 #23
Bah alors le JDG on se traine! Sa fait plusieurs jours que Korben l’a posté cette news …
On ralenti son rythme de copier/coller/reformuler :-\
0 0
boing
31 août, 2012, 08:41 #24
Comme d’autres commentaires je suis assez étonné de l’amalgame entre Ubuntu et gnu/linux… et cela est d’autant plus choquant que les dernières distrib Ubuntu et debian ne distribuent plus les binaires provenant d’Oracle à cause de licence restrictive de la part d’Oracle.
Donc en réalité si je ne m’abuse, c’est juste faux sur la distribution Ubuntu (a moins de se rendre fou a installer cette verrue au lieu de l’équivalent ouvert… mais les utilisateurs qui confondent les distribs et les os ne le feront pas).
Aussi, pour info Oracle a sorti un patch correctif hier. cependant si ils sont au courant depuis avril c’est encore une preuve que les projets opensource sont bien plus rapide à résoudre les pb de sécurité…
1 0
R1
31 août, 2012, 09:24 #25
Et sans Java, on fait comment pour jouer à Minecraft ? – »
0 0
sanguinarius
31 août, 2012, 09:25 #26
Tres bon articles ca traite l’actu.
Les gens faut pas oublié qu’on est sur JDG a partir de la hormis les actus qui ne traite pas techniquement des details de la vuln on peut les critiquer
Donc je trouve que l’article est bon dans le contexte JDG.
Merci a toi chrystelle
0 1
Milhouse57
31 août, 2012, 10:05 #27
Bon ben voila a priori c’est réglé !
http://korben.info/oracle-met-a-jour-java-alors-zavez-survecu.html
0 0
Phil
31 août, 2012, 18:11 #28
Il y a toujours eu des paranos !
0 0
sanguinarius
31 août, 2012, 21:05 #29
Milhouse57 c’est pas reglé ya un 0 day dans le nouveau patch
0 0
touba
8 sept, 2012, 14:24 #30
Faille corrigée
installer la mise à jour 07 de la version 7 de java
0 0