Se connecter avec
S'enregistrer | Connectez-vous

Deux nouvelles failles découvertes dans Java

Par - Source: Seclist | B 6 commentaires

Oracle s'en serait sans doute bien passé, mais Java semble être le centre d'intérêt des pirates informatiques actuellement. Vendredi 12 janvier, une faille "zero-day" présente dans le mécanisme d'isolation des applets poussait les autorités américaines à conseiller la désactivation de Java. Oracle avait réagi rapidement en publiant un correctif (Java 7 update 11) deux jours plus tard. Mais cette dernière version est encore vulnérable selon les chercheurs en sécurité.

D'une part, la dernière mise à jour du plug-in Java pour les navigateurs ne corrige en effet qu'une partie de la faille précédente (désignée comme la faille 50). Le défaut résiduel n'est cependant pas dangereux à lui seul mais pourrait-être utilisé à l'avenir et il est curieux qu'Oracle n'ait pas eu à coeur de l'effacer. Plus grave, les chercheurs de Security Explorations ont mis au jour deux nouvelles failles dans Java aussi graves que la n°50. Toutefois, l'update 11 a introduit un mécanisme de protection encore efficace : l'utilisateur doit manuellement autoriser les applets qui ne possèdent pas un certificat de sécurité valide. Grâce à cela, une applet pirate ne sera pas exécutée automatiquement.

Oracle en a été informé et pourrait à nouveau sortir une mise à jour corrigeant ces problèmes. En attendant, nous vous recommandons de laisser le plug-in Java désactivé en permanence et de ne l'activer qu'au coup par coup.

Commentaires
Interroger un expert

Votre question aux experts de la catégorie Les news : vos réactions du forum

Exemple : Android, ordinateur portable, usb, disque dur

Cette page n'accepte plus de commentaires
  • santec29 , 21 janvier 2013 12:50
    salut
    je vient de désinstaller java !!! peux t’ont espérer une version sans faille un jours ??
  • -2 Masquer
    a1exm , 21 janvier 2013 12:51
    Il va peut-être falloir penser à se relire non? 3 fautes dans un si petit article, c'est quelque peu exagéré!!
    "la dernière mise à jour du plug-in Java pour les navigateurs ne corrigent"
    "l'utilisateur doit manuellement autorisé"
    "laisser le plug-in Java désactiver"
  • magellan , 21 janvier 2013 13:19
    Citation :
    salut
    je vient de désinstaller java !!! peux t’ont espérer une version sans faille un jours ??

    Réponse élémentaire: non.
    Tout système aussi complexe d'une machine virtuelle aura toujours des failles potentiellement exploitables, comme n'importe quel système informatique d'ailleurs. Le chantier est de réussir à en corriger le plus possible, et de faire en sorte qu'il soit très difficile à exploiter celles qui peuvent rester. De fait, ne rêve pas, la jvm comporte et comportera toujours des failles plus ou moins grandes et plus ou moins utilisables.

    un petit tuyau: cherche les POC (proof of concept) qui démontrent énormément de failles dans tous les OS, navigateurs, logiciels, ainsi que la difficulté (ou simplicité) de leur usage. Il y a des failles "non dangereuses", d'autres qui le sont bien plus... voilà tout.
  • Afficher les 6 commentaires.
  • roromania , 21 janvier 2013 16:08
    Toute fois, il faut bien reconnaitre que Java est une porte ouverte à lui tout seul sur chacun de nos ordinateurs... Combien d'update par mois ? Combien de failles trouvées et déclarées ? Si y'avais pas Minecraft, je l'aurais désinstallé depuis longtemps !
  • -2 Masquer
    cl355 , 21 janvier 2013 16:27
    Faudrait peut-être qu'ils se mettent à bosser chez Oracle au lieu de faire la java
  • magellan , 21 janvier 2013 18:09
    Citation :
    Toute fois, il faut bien reconnaitre que Java est une porte ouverte à lui tout seul sur chacun de nos ordinateurs... Combien d'update par mois ? Combien de failles trouvées et déclarées ? Si y'avais pas Minecraft, je l'aurais désinstallé depuis longtemps !

    L'ennui d'une jvm, c'est plus son concept que ses failles. Au départ, c'est l'idée de virtualiser complètement un environnement d'exécution, et donc de fermer un maximum de portes aux cochonneries, tout en offrant la possibilité "autre chose" que de fournir des exécutables. En l'espèce, c'est plutôt une réussite... mais la demande des devs, combinée à la complexité du développement d'un tel produit a mené à:
    - L'ajout de fonctionnalités "douteuses" en terme de sécurité (accès aux périphériques, aux disques...).
    - L'ajout de bugs et failles suite à nombre de "corrections" et améliorations.
    Dans ces conditions, oui Java devient une porte ouverte, tout comme l'interface chaise clavier que nous sommes quand nous cliquons là où on n'aurait pas à le faire! C'est comme les gens qui gueulaient contre les activeX MS dans IE. D'un côté, oui, c'était débile (incompatible avec le reste du monde, propriétaire...), mais non sur le principe c'était une sorte d'alternative à la JVM (composants signés, donc sécurisés, code enrichi à travers ces composants tiers... etc etc).

    De fait: blâmer la JVM n'est pas la bonne cible. Ce qui l'est, c'est sur le fait que Oracle a repris la chose sans en assurer le suivi qu'avait Sun, que sa philosophie de distribution pourrait laisser penser à une volonté de faire mourir le produit à petit feu, et surtout d'envisager des solutions autres que la JVM en production. Or, sorti de la JVM... je ne vois guère que .NET chez MS. (PS: ne râlez pas, je ne connais pas suffisamment les autres environnements susceptibles de remplacer ces deux produits. S'il en existe, dites le moi).