Une faille critique dans Java : 1 milliard de postes concernés

Par Moe, 26 septembre 2012 à 15:18 Sécurité 31 avis

Une nouvelle faille vient d’être découverte au sein du logiciel Java de la société Oracle. Découverte et relayée par Adam Gowdiak, expert en sécurité de son état, la faille concerne les versions 5, 6 et 7 du logiciel.

Selon Oracle, ce sont près d’un milliard de postes qui pourraient être potentiellement touchés par cette faille et c’est la raison pour laquelle la société n’a donné aucune précisions concernant le fonctionnement de celle-ci.

Adam Gowdiak a transféré à Oracle l’ensemble de ses recherches ainsi que le code source de son « proof of concept » c’est à dire une démonstration validée de sa découverte.

L’éditeur est d’ores et déjà sur le pied de guerre afin de colmater la brèche même si aucune date de déploiement d’un patch n’a été communiquée.

Source

Favoris

Flux RSS des commentaires

Imprimer

Tags : faille java Oracle

31 avis Ajouter le votre

Afficher: Afficher tous

fye
26 sept, 2012, 15:24 #1
@yo94: O_o tu sais au moins de quoi tu parles?
8 0
dkgr
26 sept, 2012, 15:25 #2
T’façon c’est de la me*** le Java ! C’est affreux de développer avec un truc aussi instable. Déjà rien que le concept de lancer des applications lourdes dans une VM est déjà limité. Et pourtant les entreprise en raffole. Pourquoi ? Pour la portabilité ? Il existe aussi Qt… Mais bon ça ils en veulent pas…
4 8
Commentaire masqué : cliquez pour afficher le commentaire
hoziris
26 sept, 2012, 15:26 #3
@yo94 mais oui, Java ne sert que dans Android, bien sur …
5 0
Nalrom
26 sept, 2012, 15:26 #4
@fye : oui, il sait qu’il parle d’Androïd. Par contre, je ne suis pas sur qu’il sache de quoi parle l’article….
5 0
Thorn
26 sept, 2012, 15:32 #5
De surcroit, quasi personne utilise java sur android.
Android est basé sur un langage similaire, mais n’est pas natif java.
C’est un problème impactant quasi que les ordinateurs
1 0
MrTea
26 sept, 2012, 15:33 #6
obvious troll is obviously spotted. ça ou droidhater primaire
0 0
fye
26 sept, 2012, 15:33 #7
@dkgr : Chuis pas spécialement fan du java, mais pour en avoir fait un peu en entreprise, je peux te dire qu’il y a des gros avantages qu’on retrouve difficilement dans d’autres langages. Principalement avec toutes les bibliothèques intégrées, et tous les outils autour (comme Maven ou Jenkins) qui facilitent l’intégration continue.
Par contre c’est vrai que depuis le temps ils auraient pu faire de gros progrès en performances.
2 0
dkgr
26 sept, 2012, 15:34 #8
On me mets des moins mais sans que quelqu’un me donne son argumentation… sympas. Je peux avoir tort mais qu’on m’explique où est-ce que j’ai tort au moins…
0 0
blabla
26 sept, 2012, 15:37 #9
C’est gentil de faire du copier coller mais au moins développe donne ton avis explique se que tu entend par faille
0 0
kirk
26 sept, 2012, 15:44 #10
@dkgr: Parceque tu n’argumentes pas, comme toutes personnes anti-JAVA, bien que je veux bien que tu développes ton problème avec la JVM
@yo94: je suppose que quand il parle de « logiciel JAVA » il parle justement de la JVM. Android a en effet son interface JAVA et ces applications sont également (pour beaucoup tout du moins) en JAVA mais n’utilise pas la JVM « standard » mais une autre machine virtuelle (Dalvik)
1 1
F.
26 sept, 2012, 15:44 #11
@Thorn : +1 => Android est sur un java like. Ce n’est pas le java d’Oracle (d’ailleurs, cf le procés intenté par Oracle à Google pour avoir copié dans la JVM d’Android du code de la JVM d’Oracle).
Or ici, c’est la JVM d’Oracle qui est en cause. Donc le milliard de postes infectés ne concerne pas les terminaux android, juste les JVM que vous avez sur tous vos ordinateurs, sur beaucoup de serveurs …
Et ce genre de faille dans une JVM, il y en a une tous les 6 mois (je me demande s’ils ne font pas exprès pour pousser les gens à mettre à jour leur JVM : perso, à mon taf, tous les 6 mois on pousse une nouvelle JVM en prod pour une faille critique).
@dkgr : commence par te renseigner sur la facilité de faire une webapp java qui tourne sur tomcat et tu comrpendras pourquoi tout le monde est sur java. Certes, il existes des alternatives plus performantes mais qui disposent de moins de libs et de facilités de dév pour les systèmes complexes). Je crois que c’est là la clé du « pourquoi encore java ».
Et le « alors que QT » ne s’applique pas du tout pour une webapp
1 1
dkgr
26 sept, 2012, 15:44 #12
@fye : Mon commentaire est apparu juste après le tiens désolé. Pour continuer avec mon autre référent (à savoir Qt) il possède lui aussi une énorme librairie de fonction (Réseau, Base de donnée, etc…). En revanche je suis d’accord avec toi pour les outils qui sont sans mentir assez pratique. Mais pour avoir pas mal développé sur plusieurs plateforme, Java est vraiment loin derrière pour tout ce qui est débogage. On nous fait croire qu’avec ce langage, nous avons qu’à coder une seule fois et tout fonctionne quel que soit l’OS… Et bien c’est vrai à 80% des cas tandis qu’avec Qt si on utilise ses librairies on a vraiment une portabilité parfaite sans avoir à retoucher quelque chose.
1 1
Garcimore
26 sept, 2012, 15:44 #13
@yo94 : La pluspart des bibliothèques sous Android sont codées en c/c++.Le moteur d’éxecution est en Java.
2 0
F.
26 sept, 2012, 15:45 #14
@dkgr : cf mon précédent commentaire. Opposer java à QT c’est se concentrer sur la partie immergée de l’iceberg qu’est java …
0 0
dkgr
26 sept, 2012, 15:48 #15
@F. : Le pire exemple qu’il soit !!! Les webapp c’était la goutte d’eau qui a fait débordé le vase. Le plus simple jamais développé pour les webapp pour ma part a été avec Microsoft .NET. 2 univers totalement différent. Le débugger .NET est super précis sur les erreurs tandis qu’avec Java on te file une erreur hyper vague, tu passe 15 min à comprendre d’où vient l’erreur.
1 1
Suprakarma
26 sept, 2012, 15:49 #16
yo94, c’est mal de se ridiculiser comme ça, et d’en remettre une couche. Non faut pas, vraiment.
1 0
Sihn
26 sept, 2012, 15:50 #17
@dkgr : « T’façon c’est de la me*** le Java ! C’est affreux de développer avec un truc aussi instable. »
Je crois qu’ils viennent de là, tes moins. En tout cas pour ma part, c’est à ce stade là que je t’en aurais mis un (si j’avais pas eu la flemme de me log :p). Avec un avis aussi tranché (« c’est de la me*** », « C’est affreux ») sans arguments (« T’façon » n’est pas un argument), t’as déjà plombé ta crédibilité… Et ce, peut importe le reste de ton post.
Au passage, une dernière petite mise au point… Tu peux « demander » les raisons qui ont poussés les gens à te mettre des « plus » ou des « moins », mais ces derniers ne sont ABSOLUMENT PAS tenus de te les donner, que l’on soit bien clair.
2 0
WinstonSmith
26 sept, 2012, 15:52 #18
Je ne connais pas QT, mais il me semble que les entreprises raffolent de J2EE (Java Enterprise Edition) du fait de l’architecture client/serveur qui permet un déploiement et une maintenance plus facile et moins coûteuse.
Sinon je ne trouve pas le java particulièrement « instable », et c’est surement l’un des langages les plus agréables à utiliser, je ne comprend pas trop ta remarque.
P.S : je ne t’ai pas mis de « - » ^^
1 0
dkgr
26 sept, 2012, 15:53 #19
@Sihn : J’avoue je me suis laissé emporter, je comprends mieux xD. J’ai laisser ressortir mes émotions quand mes souvenir de code Java ont resurgi.
PS : je t’ai même mis +1 lol.
0 0
dkgr
26 sept, 2012, 16:03 #20
@WinstonSmith : J’ai eu beaucoup de problème en développement avec Java principalement en développant des applications web (le débugger qui réponds plus, devoir redémarrer le serveur Tomcat) des problèmes super énervant. Je veux dire par la que je déteste perdre du temps avec mes outils de prog. Quand je lance mes outils je veux que tout fonctionne sans planter, sans bidouiller. J’ai pas envie de perdre du temps avec ça. Quand je parle d’instabilité, je ne parle pas forcément du programme mais principalement de la plupart des outils (Le pire étant Glassfish avec Netbeans… je le surnomme Glassfuck tellement il m’a gavé celui-là)
1 1
Hokuto34
26 sept, 2012, 16:05 #21
Que ça vous plaise ou non Java est utilisé sur Windows. Je viens de recevoir une mise à jour en début d’après-midi. ????
0 0
Moriar
26 sept, 2012, 16:13 #22
Qui n’a pas encore installé Firefox + Noscript (+ Ghostery + Adblock+) ?
1 1
gstr
26 sept, 2012, 16:15 #23
Bon alors :
-QT = Framework, java = langage. Donc ça ne sert à rien de comparer les deux (raison de tes – dkgr ? Ou alors que visiblement, tu n’as pas fait de « vrai » java, celui qui est cool ?).
- Pour ceux qui considèrent que le java est lent, vous savez ce que c’est que JIT ? Java, avec les optims du compilateur et de la jvm, a d’excellentes performances comparable à celle de C++ (la plupart du temps juste en dessous, quelque fois un peu au dessus).
cf http://en.wikipedia.org/wiki/Java_performance#Comparison_to_other_languages
Quoiqu’il en soit, les perfs de java sont BIEN MEILLEURES que celles de tous les langages interprétés (donc Perl, Ruby, Php etc…). Après je ne rentre pas dans le débat interprété VS compilé.
-Effectivement, les entreprises aiment beaucoup le Java, spécialement Java EE (on ne dit plus J2EE), et aussi java avec le framework Spring grâce à la grande flexibilité que cela amène, tout en gardant une grande rapidité d’exécution.
- Les webapps avec java, c’est cool, enfin ça dépend quel framework MVC tu utilises, mais on fait des trucs vraiment sympa avec Stripes ou Spring MVC ces temps-ci !
- Le concept de faire tourner des applis lourdes dans une vm ne te plait pas dkgr. Dommage, c’est un peu le principe de tous les hébergements mutualisés. De plus, si c’était vraiment pourri, pourquoi tant d’autres langages ont été portés sur la jvm ?
Sinon, peace les gars, Java c’est bien pour certaines choses, C++ pour d’autres choses, un aspirateur c’est mieux que le java pour le nettoyage, et je préfère taper au clavier qu’à la souris
0 0
gstr
26 sept, 2012, 16:16 #24
@dkgr ah mais si tu utilises pas les bon outils aussi, on peut rien faire pour toi….
@Moriar c’est pas du script java
0 0
dkgr
26 sept, 2012, 16:25 #25
C’est pas les machines virtuelles que je trouve pourries. Je me suis peut être mal exprimé. Ce que je déteste c’est utiliser des JVM pour lancer des applis sur l’ordinateur de M.ToutLeMonde. Les JVM sont très utiles mais pas pour ce genre de choses. Une bonne vieille appli lancé en natif sur le poste et qui alloue de la mémoire qu’ELLE a besoin et les ressource processeur qu’ELLE a besoin aussi je trouve ça mieux qu’une JVM qui alloue de a mémoire pour elle ET pour l’appli.
Au passage si les gens mettent des moins parce que je compare Qt avec Java. Excuse moi mais alors ils ont rien compris. Je compris les Outils, je dis pas que le C++ est mieux que le Java… (Même si je le pense xD)
0 1
gstr
26 sept, 2012, 16:51 #26
@dkgr : donc tu as une opinion générale sur un sujet qui justement demande à être étudié pour chaque cas particulier
0 0
F.
26 sept, 2012, 16:52 #27
@dkgr : je ne suis pas fan de java, je préfère largement le C. Peut être car en C il faut être rigoureux sinon on fait n’importe quoi et ca ne fonctionne pas du tout (alors qu’en java on peut faire n’importe quoi et que ca fonctionne quand même)
Après, tes problèmes en java viennent aussi du fait que tu ne connais pas java. Ca me fait la même chose avec .NET. Or je ne dis pas pour autant que .NET est pourri « (Même si je le pense xD) » car je sais que je suis mal placé pour juger.
Comparer QT à Java, que ce soit pour les outils ou pour autre chose, c’est, je reviens à mon image, comparer la partie immergée de l’iceberg (et ce serait plutôt comparer swing + qq libs java à QT qui ferait sens). Java c’est bien plus que ce que fait QT. Ou alors QT permet aussi de faire des webapp ???
1 0
dkgr
26 sept, 2012, 17:06 #28
Je connais pas Java dans sa totalité (ce qui je pense est difficile tant il est vaste) mais j’en connais suffisamment pour dire que je déteste ce langage et tout ce qui va avec. J’en bouffe depuis 4 ans et maintenant que j’ai changé de taff, je suis bien content de ne plus y toucher.
J’aurais pas due parler de Qt… C’était juste pour donner une comparaison pour les applis lourdes qui tourne sur nos machines (Lotus Notes, etc…). Je suis tout à fait d’accord que pour le reste Qt n’a rien à voir la-dedans.
0 0
bebeon
26 sept, 2012, 17:14 #29
En même temps si t’utilise la VM d’origine de Java t’est pas sortis.
Et Java contrairement aux idées reçues n’est pas plus lent que du C ou C++. Faut juste savoir s’en servir, c’est comme une clé dynamométrique si tu sait pas tu te loupe.
Et sinon concernant la faille il s’agit d’un module particulier qui n’est pas forcément utilisé.
0 0
Coldragon
26 sept, 2012, 17:19 #30
@yo94 Cela fait un moment qu’il est possible de développer des application Android en C++ …
0 0
Moriar
26 sept, 2012, 17:28 #31
@gstr : Noscript bloque les applets java…
0 0