[MAJ] Java : une faille importante inquiète les experts !

Une faille zero day a été découverte dans la dernière version de Java et inquiète les spécialistes en sécurité qui la jugent très critique.  C’est le cabinet FireEye, expert en sécurité informatique, qui a donné l’alerte après avoir découvert une faille au sein de Java 7 Update 6. Concrètement, cette faille permet l’exécution de code arbitraire à

Une faille zero day a été découverte dans la dernière version de Java et inquiète les spécialistes en sécurité qui la jugent très critique. 

C’est le cabinet FireEye, expert en sécurité informatique, qui a donné l’alerte après avoir découvert une faille au sein de Java 7 Update 6. Concrètement, cette faille permet l’exécution de code arbitraire à distance, par exemple au moyen d’un applet Java spécialement conçu et intégré dans une page Web; d’où le fait qu’elle soit jugée extrêmement critique. En effet, cela peut donner accès à des informations personnelles et la possibilité aux pirates d’installer des logiciels espions de type keylogger.

Il est conseillé de désactiver Java !

Pour le moment, l’exploit* n’est pas à la portée de tous mais la publication d’une PoC (preuve de concept ou démonstration de faisabilité) permet à des hackers moins qualifiés d’exploiter la faille. Une situation qui a fait réagir le CERTA (Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques) qui nous explique dans un bulletin d’alerte que : « Cette vulnérabilité est activement exploitée et largement diffusée. »

Les principaux systèmes d’exploitation et navigateurs sont touchés par cette vulnérabilité, les experts de Metasploit annoncent d’ailleurs avoir déjà exploité la faille sur Windows 7/Vista/XP ainsi que sur OS X 10.7.4 et Ubuntu 10.04. Plusieurs navigateurs ont également été testés parmi lesquels : Firefox, Internet Explorer, Chrome et Safari. Atif Mushtaq, qui a découvert cette faille, à fait part de son inquiétude au site TechWeek Europe en raison de la discrétion de l’exploit, qui contrairement à d’autres exploits ne fait pas planter le navigateur, et l’exposition de toute plateforme importante.

La prudence est donc de mise en attendant un correctif et il est conseillé de désactiver Java sur tous les navigateurs voir de le désinstaller. Une recommandation qu’on retrouve chez des firmes spécialisées en sécurité telles que Kaspersky ou F-Secure.

* un élément de programme ou une technique permettant d’exploiter une faille.

MAJ : Oracle, qui était resté silencieux depuis l’annonce de cette faille, vient de publier un correctif. La firme est cependant accusée de ne pas avoir réagi rapidement si l’on en croit Adam Gowdiak, fondateur et PDG de Security Explorations qui aurait alerté Oracle sur l’existence de cette faille jugée critique dès avril.

(Source)


Java : une faille importante inquiète les experts !"]

Nos dernières vidéos

22 commentaires

  1. qui l’a juge très critique. –> qui la jugent très critique

    Merci (elle faisait trop m) ^^

  2. les spécialistes en sécurité qui l’a juge très critique. -> qui la jugent c’est mieux 🙂
    Désolé ton article est intéressant mais ça m’a piqué les yeux dès la première ligne ^^

  3. Thomas-Estimbre on

    En effet, elle pique aux yeux… comme quoi la relecture du soir vaut pas celle du matin ! C’est corrigé, merci 🙂

  4. alors ça fait longtemps que l’on sait que les applets java sont dangereuse, mais de la à supprimer entièrement java de la machine…

  5. Allons bon. On le sait que les applications distantes en Java (les applets en particulier) sont sensibles. Désactiver Java est excessif, il faut faire attention, c’est tout !
    Les applets Java qui peuvent accéder à votre Pc doivent être signés et vous devez accepter de les executer pour que CERTAINES sécurités soient levées.

    Arrêtons de voir le mal absolument partout 😉

  6. @moot et @Steph (Technofeliz) : Je ne suis pas d’accord, si on donne un coup de main non négligeable à la communauté open source (LibreOffice entre autre), on pourrait virer Java et sans se plaindre.

    On a des langages plus propres et plus puissants comme Perl et Python au niveau du multiplateforme.

    Au niveau de la puissance reconnu, Python a Zope qu’on ne présente plus et connu avec Plone, ERP5 et beaucoup moins avec Silva mais également OpenERP, Flumotion et d’autres.
    Pour Perl, on a Bugzilla, SpamAssassin, Webmin, Koha et d’autres.

    Pour un applicatif comme LibreOffice, Python serait la solution pour s’affranchir de Java car il permettrait à beaucoup de monde d’y participer tellement qu’il s’agit un langage facile et rapide à apprendre mais surtout qui oblige un code propre (nombre d’espace, nombre de tabulation …).

    J’ai même demandé à HP, s’ils ne pouvaient pas nous sortir une application client pour leur système de KVM (iLO) dans un autre langage que Java vu la faille 0-day. Plus que la réponse à attendre et s’ils ne peuvent/veulent pas, je ne renouvellerais pas mon matériel chez eux.

  7. @arthrik: J’ai parlé des 2 langages avec lesquels on code dans mon entourage sont également présent php (plus pour très longtemps, on le remplace par python) et c++ (suivant ce qu’on veut, c’est pratique).

    Pour vala, oui gnome l’utilise mais vu que personne autour de moi l’utilise ça va être difficile de s’y mettre. Si on va par là, il y a erlang, haskell …

    Tout ça pour dire, chaque langage a ses avantages et inconvénients, il faut prendre celui qu’on « sent ». Je suis un anti Java et au tour de moi, ça se sait et toujours pour des raisons de CPU + RAM + temps d’exécution + politique brevets (Oracle et sa JVM face à OpenJDK).

    Étant donné que j’ai un petit projet qui utilise gstreamer, je regarderais genie qui ressemble plus à python que vala (on se croirait chez m$ avec c#, et c’est pas un compliment)

    @Vincent: Oracle a publié une mise à jour donc à voir si la faille a été entièrement résolue sans en ouvrir une autre.

  8. @colundrum Ouais, enfin Microsoft est cool par rapport a apple en ce moment 🙂 . Ca veut pas dire que j’acheterai un PC ou wp . J’ai mon LMDE et je le garde 🙂

  9. @arthrisk: Je suis full Gnu/Linux depuis toujours et j’ai été obligé d’utiliser de windows 2000 pro et 2000 advanced server jusqu’au xp pro et 2003 enterprise & datacenter sans compter Snow Leopard (un amour comparé à certains windows).
    Mais depuis 5 ans, j’ai dit NON et je reste uniquement en full Gnu/Linux et refuse de travailler sous windows et mac.
    LMDE, bof, quand on vient de RHL suivi par CentOS, Debian et Scientific Linux, désolé mais c’est pas le même environnement. LMDE sur la machine de monsieur tout le monde, ok mais jamais sur des machines où l’on cherche la fiabilité.
    Actuellement, je suis en 75% Debian et 25% Scientific Linux (plus fiable que CentOS car maintenu entre autre par le Fermilab et le CERN).
    Pour ce qui est de Java, j’utilise également OpenJDK mais j’en ai assez de voir ce langage et surtout qu’il sert qu’à 2 applications d’installées : LibreOffice et le client KVM (iLO) des serveurs HP. Aucun wine ou mono.

  10. @colundrum je suis monsieur tout le monde. En meme temps , j’ai pas besoin de Scientific linux pour l’instant et mon LMDE est stable pour l’instant donc ca ira 🙂

  11. @arthrik : Juste pour dire qu’OpenJDK a également la faille … car OpenJDK est l’implémentation libre de la société Oracle (encore et toujours Oracle comme développeur) du standard Java SE
    Il ne faut pas s’attendre à des miracles …

Send this to a friend