Une faille zero day a été découverte dans la dernière version de Java et inquiète les spécialistes en sécurité qui la jugent très critique. C’est le cabinet FireEye, expert en sécurité informatique, qui a donné l’alerte après avoir découvert une faille au sein de Java 7 Update 6. Concrètement, cette faille permet l’exécution de code arbitraire à
Une faille zero day a été découverte dans la dernière version de Java et inquiète les spécialistes en sécurité qui la jugent très critique.
C’est le cabinet FireEye, expert en sécurité informatique, qui a donné l’alerte après avoir découvert une faille au sein de Java 7 Update 6. Concrètement, cette faille permet l’exécution de code arbitraire à distance, par exemple au moyen d’un applet Java spécialement conçu et intégré dans une page Web; d’où le fait qu’elle soit jugée extrêmement critique. En effet, cela peut donner accès à des informations personnelles et la possibilité aux pirates d’installer des logiciels espions de type keylogger.
Il est conseillé de désactiver Java !
Pour le moment, l’exploit* n’est pas à la portée de tous mais la publication d’une PoC (preuve de concept ou démonstration de faisabilité) permet à des hackers moins qualifiés d’exploiter la faille. Une situation qui a fait réagir le CERTA (Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques) qui nous explique dans un bulletin d’alerte que : « Cette vulnérabilité est activement exploitée et largement diffusée. »
![java logo [MAJ] Java : une faille importante inquiète les experts !](http://www.presse-citron.net/wordpress_prod/wp-content/uploads/java-logo.jpg "[MAJ] Java : une faille importante inquiète les experts !"){kind=logo}
Les principaux systèmes d’exploitation et navigateurs sont touchés par cette vulnérabilité, les experts de Metasploit annoncent d’ailleurs avoir déjà exploité la faille sur Windows 7/Vista/XP ainsi que sur OS X 10.7.4 et Ubuntu 10.04. Plusieurs navigateurs ont également été testés parmi lesquels : Firefox, Internet Explorer, Chrome et Safari. Atif Mushtaq, qui a découvert cette faille, à fait part de son inquiétude au site TechWeek Europe en raison de la discrétion de l’exploit, qui contrairement à d’autres exploits ne fait pas planter le navigateur, et l’exposition de toute plateforme importante.
La prudence est donc de mise en attendant un correctif et il est conseillé de désactiver Java sur tous les navigateurs voir de le désinstaller. Une recommandation qu’on retrouve chez des firmes spécialisées en sécurité telles que Kaspersky ou F-Secure.
* un élément de programme ou une technique permettant d’exploiter une faille.
MAJ : Oracle, qui était resté silencieux depuis l’annonce de cette faille, vient de publier un correctif. La firme est cependant accusée de ne pas avoir réagi rapidement si l’on en croit Adam Gowdiak, fondateur et PDG de Security Explorations qui aurait alerté Oracle sur l’existence de cette faille jugée critique dès avril.
(Source)
![[MAJ] Java : une faille importante inquiète les experts !](http://www.gravatar.com/avatar/db05d2939028267729095b5b3ceae397?d=blank&s=80 "Thomas-Estimbre")
![twitter [MAJ] Java : une faille importante inquiète les experts !](http://www.presse-citron.net/wordpress_prod/wp-content/plugins/fancier-author-box/images/twitter.png "[MAJ] Java : une faille importante inquiète les experts !"){kind=small}
![googleplus [MAJ] Java : une faille importante inquiète les experts !](http://www.presse-citron.net/wordpress_prod/wp-content/plugins/fancier-author-box/images/googleplus.png "[MAJ] Java : une faille importante inquiète les experts !"){kind=small}
Thomas-Estimbre
Derniers articles parThomas-Estimbre (voir tous)
- Un artiste réalise une oeuvre avec 400 Galaxy Note 2 - 7 mai 2013
- Android 4.3 avant Key Lime Pie - 30 avril 2013
- Apple accuse une baisse de son bénéfice pour la première fois en dix ans - 24 avril 2013
- Intel et AMD durement touchés par la crise du marché des PC - 22 avril 2013
- LinkedIn met à jour son application mobile - 18 avril 2013
Camille Bouiller 
Rénald Boulestin
Nicolas Lecointre
Thomas Estimbre 
Kévin Verger 
Valentin Pringuay 
Louis Carle
22 commentaires pour "[MAJ] Java : une faille importante inquiète les experts !"
1
Fichiers PSD Gratuits le 30 août 2012 à 08:15
Merci pour l’info, ça fait flipper !
2
zizou0105 le 30 août 2012 à 09:02
qui l’a juge très critique. –> qui la jugent très critique
Merci (elle faisait trop m) ^^
3
zizou0105 le 30 août 2012 à 09:02
Je reprends. Elle faisait trop mal aux yeux celle-ci
4
Maxence le 30 août 2012 à 09:07
les spécialistes en sécurité qui l’a juge très critique. -> qui la jugent c’est mieux
Désolé ton article est intéressant mais ça m’a piqué les yeux dès la première ligne ^^
5
Valentin le 30 août 2012 à 09:07
Oups la boulette. J’ai glissé chef !
6
Max le 30 août 2012 à 09:14
Merci pour l’alerte que je prends très au sérieux.
7
Thomas-Estimbre le 30 août 2012 à 09:21
En effet, elle pique aux yeux… comme quoi la relecture du soir vaut pas celle du matin ! C’est corrigé, merci
8
arthric le 30 août 2012 à 09:48
Et opera n’est pas touché, ni LMDE
9
Medo le 30 août 2012 à 10:02
Merci pour l’info binetot le patch
10
Social media basque le 30 août 2012 à 11:15
Java, Java…
11
moot le 30 août 2012 à 11:24
alors ça fait longtemps que l’on sait que les applets java sont dangereuse, mais de la à supprimer entièrement java de la machine…
12
Steph (Technofeliz) le 30 août 2012 à 15:01
« Il est conseillé de désactiver Java »
Ah zut, j’avais lu « désinstaller »…
Ra bon tantpispasgrave…
13
WebManiaK le 30 août 2012 à 23:24
Allons bon. On le sait que les applications distantes en Java (les applets en particulier) sont sensibles. Désactiver Java est excessif, il faut faire attention, c’est tout !
Les applets Java qui peuvent accéder à votre Pc doivent être signés et vous devez accepter de les executer pour que CERTAINES sécurités soient levées.
Arrêtons de voir le mal absolument partout
14
colundrum le 31 août 2012 à 00:06
@moot et @Steph (Technofeliz) : Je ne suis pas d’accord, si on donne un coup de main non négligeable à la communauté open source (LibreOffice entre autre), on pourrait virer Java et sans se plaindre.
On a des langages plus propres et plus puissants comme Perl et Python au niveau du multiplateforme.
Au niveau de la puissance reconnu, Python a Zope qu’on ne présente plus et connu avec Plone, ERP5 et beaucoup moins avec Silva mais également OpenERP, Flumotion et d’autres.
Pour Perl, on a Bugzilla, SpamAssassin, Webmin, Koha et d’autres.
Pour un applicatif comme LibreOffice, Python serait la solution pour s’affranchir de Java car il permettrait à beaucoup de monde d’y participer tellement qu’il s’agit un langage facile et rapide à apprendre mais surtout qui oblige un code propre (nombre d’espace, nombre de tabulation …).
J’ai même demandé à HP, s’ils ne pouvaient pas nous sortir une application client pour leur système de KVM (iLO) dans un autre langage que Java vu la faille 0-day. Plus que la réponse à attendre et s’ils ne peuvent/veulent pas, je ne renouvellerais pas mon matériel chez eux.
15
arthrik le 31 août 2012 à 10:42
@colundrum Et Vala , ne l’oublie pas aussi
16
Vincent - Vaincre-timidite.com le 31 août 2012 à 11:25
Merci de nous avoir informé de cette faille Java. Il faut faire attention jusqu’à ce que les spécialistes trouvent une solution.
17
colundrum le 31 août 2012 à 12:31
@arthrik: J’ai parlé des 2 langages avec lesquels on code dans mon entourage sont également présent php (plus pour très longtemps, on le remplace par python) et c++ (suivant ce qu’on veut, c’est pratique).
Pour vala, oui gnome l’utilise mais vu que personne autour de moi l’utilise ça va être difficile de s’y mettre. Si on va par là, il y a erlang, haskell …
Tout ça pour dire, chaque langage a ses avantages et inconvénients, il faut prendre celui qu’on « sent ». Je suis un anti Java et au tour de moi, ça se sait et toujours pour des raisons de CPU + RAM + temps d’exécution + politique brevets (Oracle et sa JVM face à OpenJDK).
Étant donné que j’ai un petit projet qui utilise gstreamer, je regarderais genie qui ressemble plus à python que vala (on se croirait chez m$ avec c#, et c’est pas un compliment)
@Vincent: Oracle a publié une mise à jour donc à voir si la faille a été entièrement résolue sans en ouvrir une autre.
18
arthrik le 31 août 2012 à 15:21
@colundrum Ouais, enfin Microsoft est cool par rapport a apple en ce moment
. Ca veut pas dire que j’acheterai un PC ou wp . J’ai mon LMDE et je le garde 
19
arthrik le 31 août 2012 à 15:22
Et puis j’ai pas java 7, j’ai open jdk
20
colundrum le 31 août 2012 à 16:23
@arthrisk: Je suis full Gnu/Linux depuis toujours et j’ai été obligé d’utiliser de windows 2000 pro et 2000 advanced server jusqu’au xp pro et 2003 enterprise & datacenter sans compter Snow Leopard (un amour comparé à certains windows).
Mais depuis 5 ans, j’ai dit NON et je reste uniquement en full Gnu/Linux et refuse de travailler sous windows et mac.
LMDE, bof, quand on vient de RHL suivi par CentOS, Debian et Scientific Linux, désolé mais c’est pas le même environnement. LMDE sur la machine de monsieur tout le monde, ok mais jamais sur des machines où l’on cherche la fiabilité.
Actuellement, je suis en 75% Debian et 25% Scientific Linux (plus fiable que CentOS car maintenu entre autre par le Fermilab et le CERN).
Pour ce qui est de Java, j’utilise également OpenJDK mais j’en ai assez de voir ce langage et surtout qu’il sert qu’à 2 applications d’installées : LibreOffice et le client KVM (iLO) des serveurs HP. Aucun wine ou mono.
21
arthrik le 31 août 2012 à 16:33
@colundrum je suis monsieur tout le monde. En meme temps , j’ai pas besoin de Scientific linux pour l’instant et mon LMDE est stable pour l’instant donc ca ira
22
colundrum le 2 septembre 2012 à 11:46
@arthrik : Juste pour dire qu’OpenJDK a également la faille … car OpenJDK est l’implémentation libre de la société Oracle (encore et toujours Oracle comme développeur) du standard Java SE
Il ne faut pas s’attendre à des miracles …