Passer au contenu

Une faille Java importante

Le cabinet de sécurité FireEye a découvert une faille de sécurité importante dans la dernière version de Java, Java 7 (update 6). Une faille extrêmement critique…

Le cabinet de sécurité FireEye a découvert une faille de sécurité importante dans la dernière version de Java, Java 7 (update 6). Une faille extrêmement critique qui permet à une personne mal intentionnée de prendre le contrôle total de l’ordinateur d’une victime. En effet, cette faille autoriserait l’installation d’un code arbitraire avec l’aide d’un Applet Java intégré dans une page Web par exemple. Dans l’attente d’un correctif de la part d’Oracle, il est conseillé de désactiver Java, afin de se protéger d’éventuelles attaques.

Une faille connue
Pourtant, Oracle aurait été prévenu de cette faille par une société de sécurité polonaise, Security Explorations, depuis le 2 avril. La société avait même fourni des PoC (proof-of-concept), qui expliquaient comment ces failles pouvaient être utilisées. Malgré cela, la faille est toujours présente et elle est malheureusement exploitée, avec une variante du cheval de troie “Poison Ivy”, utilisé pour le cyberespionnage. Cette faille peut être exploitée sur tous les navigateurs de n’importe quel OS : Mac OS X, Windows et Ubuntu. En espérant maintenant qu’Oracle publie rapidement un correctif.

Java

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

Source : Source

31 commentaires
  1. Heu, reprenons:
    “une faille” <- deux
    "Ubuntu" <- parce que Fedora est protégé? Linux en général

    Le correctif arrive dans le patch d'octobre… (après une révélationen avril et un patch de certains des bugs révélés en juin)

  2. put’1 mais lourd ou débile !!! ou les deux sans doute
    vous nous faites chier avec vos questions de geek boutonneux “fedora ou machin chose”

    non sur ta mère qu’elle est la faille connard !

  3. faut arrêter la psychose hein… Un bon anti-virus + un bon anti malware et les attaques sont logiquement bloquées…

  4. Oracle, jouissant d’un très démocratique monopole, peut nous faire allez dans le mur en moins de temps qu’il ne nous en faut pour jauger les conséquences.

  5. @Chocapix “logiquement” oui mais l’attaque n’est pas bloquer pour autant.

    le rageurs stop rage ici si vous avez lut l’article ailleurs ne cliquez pas sur la news.

  6. @Silencieux je sais je sais… mais bon écoute, ça fait plus de 13 ans que j’utilise un ordi… et en 13 ans (parce que oui j’ai commencer à 7 ans =P ) j’ai jamais choper de virus ou quoi que ce soit sur le net… (si y en avait sur le DD c’était des mauvais DL mais stopper direct =P ) je pense que lorsqu’on fait attention à; avoir un antivirus correct, où on va, sur quoi on clique, il n’y a aucun soucis..

  7. Ya des choses pas très claire dans l’article …

    “dans la dernière version de Java, Java 7 (update 6)”
    Dans toute les versions de la branche 7, pas uniquement la 7.6.
    cf http://www.developpez.com/actu/47016/Le-nouvel-exploit-zero-day-de-Java-7-decortique/

    “cette faille autoriserait l’installation d’un code arbitraire”
    ça c’est le résultat final du code malveillant …
    La faille en elle même ne fait “que” permettre de désactiver la sandbox et donc d’avoir un accès complet au systéme.

    “elle est malheureusement exploitée, avec une variante du cheval de troie « Poison Ivy », utilisé pour le cyberespionnage.”
    L’intégration de cette faille dans le framework “BlackHole” (et autre framework d’exploit du même genre) est bien plus préoccupante …

    “Mac OS X, Windows et Ubuntu”
    … heu depuis quand ubuntu représente tout les systèmes linux ?

  8. Le virus Gendarmerie passe via cette belle merde de java 😡

    Faites comme moi l’installer pas, d’ailleurs j’en ai jamais eu besoin ces dernières années !!

  9. Chocapix : j’utilisait un pc avant que tu sois né et j’ai jamais eu besoin d’antivirus (ça me fait chier d’investir dans un proc pour l’utiliser à moitié à cause de ces machins, sans parler des bugs que ça génère).
    D’ailleurs sous Linux la faille elle doit pas donner grand cho1se, tu peux essayer d’exécuter ton code mais il faut encore trouver une autre faille dans le système pour vraiment faire des dégâts. Je doute qu’un pirate s’ennuie à cibler un OS minoritaire…Enfin tous les goûts sont dans la nature.

  10. Bonjour,
    On va éclaircir quelques points :
    1) Java et Javascript sont deux langages totalement différents. Donc aucune peur à avoir pour JS.
    2) Deuxièmement @Chocapix, tu auras beau prendre toutes les précautions du genre à part désactiver JAVA, le désinstaller ou alors n’autoriser aucun applet tu seras toujours une victime potentielle. Si ton surf se résume à Google tu as peu de risques mais pour les autres on ne sait jamais. Même un site avec des admins de confiance. Un petit coup d’attaque XSS, puis ton JS insère dans le DOM de la page un applet JAVA et voilà le tour est joué.
    3) @peaknoise : Un bon firewall ne changera pas grand chose puisque pour lui le contenu de l’applet sera légitime. Et puis avec un peu de chance la personne connectée sera administratrice et même pas besoin d’élévation de privilèges.

  11. Bah alors le JDG on se traine! Sa fait plusieurs jours que Korben l’a posté cette news …
    On ralenti son rythme de copier/coller/reformuler :-\

  12. Comme d’autres commentaires je suis assez étonné de l’amalgame entre Ubuntu et gnu/linux… et cela est d’autant plus choquant que les dernières distrib Ubuntu et debian ne distribuent plus les binaires provenant d’Oracle à cause de licence restrictive de la part d’Oracle.
    Donc en réalité si je ne m’abuse, c’est juste faux sur la distribution Ubuntu (a moins de se rendre fou a installer cette verrue au lieu de l’équivalent ouvert… mais les utilisateurs qui confondent les distribs et les os ne le feront pas).

    Aussi, pour info Oracle a sorti un patch correctif hier. cependant si ils sont au courant depuis avril c’est encore une preuve que les projets opensource sont bien plus rapide à résoudre les pb de sécurité…

  13. Tres bon articles ca traite l’actu.

    Les gens faut pas oublié qu’on est sur JDG a partir de la hormis les actus qui ne traite pas techniquement des details de la vuln on peut les critiquer :p

    Donc je trouve que l’article est bon dans le contexte JDG.

    Merci a toi chrystelle

Les commentaires sont fermés.

Mode