Une faille connue
Pourtant, Oracle aurait été prévenu de cette faille par une société de sécurité polonaise, Security Explorations, depuis le 2 avril. La société avait même fourni des PoC (proof-of-concept), qui expliquaient comment ces failles pouvaient être utilisées. Malgré cela, la faille est toujours présente et elle est malheureusement exploitée, avec une variante du cheval de troie “Poison Ivy”, utilisé pour le cyberespionnage. Cette faille peut être exploitée sur tous les navigateurs de n’importe quel OS : Mac OS X, Windows et Ubuntu. En espérant maintenant qu’Oracle publie rapidement un correctif.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
La faille a même été inclue dans Metasploit pour ceux qui voudrait s’amuser 😉
Maintenant Ubuntu = Gnu/linux ? 😮
Heu, reprenons:
“une faille” <- deux
"Ubuntu" <- parce que Fedora est protégé? Linux en général
Le correctif arrive dans le patch d'octobre… (après une révélationen avril et un patch de certains des bugs révélés en juin)
Pour ceux qui ont les fesses qui claquent, voila un article pour désactiver java : http://korben.info/comment-desactiver-java.html
put’1 mais lourd ou débile !!! ou les deux sans doute
vous nous faites chier avec vos questions de geek boutonneux “fedora ou machin chose”
non sur ta mère qu’elle est la faille connard !
put’1 mais qu est ce vous pouvez être lourd !
non elle est sur ta g u eule la faille crétin
faut arrêter la psychose hein… Un bon anti-virus + un bon anti malware et les attaques sont logiquement bloquées…
Oracle, jouissant d’un très démocratique monopole, peut nous faire allez dans le mur en moins de temps qu’il ne nous en faut pour jauger les conséquences.
@Chocapix “logiquement” oui mais l’attaque n’est pas bloquer pour autant.
le rageurs stop rage ici si vous avez lut l’article ailleurs ne cliquez pas sur la news.
@Silencieux je sais je sais… mais bon écoute, ça fait plus de 13 ans que j’utilise un ordi… et en 13 ans (parce que oui j’ai commencer à 7 ans =P ) j’ai jamais choper de virus ou quoi que ce soit sur le net… (si y en avait sur le DD c’était des mauvais DL mais stopper direct =P ) je pense que lorsqu’on fait attention à; avoir un antivirus correct, où on va, sur quoi on clique, il n’y a aucun soucis..
pour ce protéger suffit d’avoir un vrai fire-wall et c’est bon. Pas besoin de désactiver java
Ya des choses pas très claire dans l’article …
“dans la dernière version de Java, Java 7 (update 6)”
Dans toute les versions de la branche 7, pas uniquement la 7.6.
cf http://www.developpez.com/actu/47016/Le-nouvel-exploit-zero-day-de-Java-7-decortique/
“cette faille autoriserait l’installation d’un code arbitraire”
ça c’est le résultat final du code malveillant …
La faille en elle même ne fait “que” permettre de désactiver la sandbox et donc d’avoir un accès complet au systéme.
“elle est malheureusement exploitée, avec une variante du cheval de troie « Poison Ivy », utilisé pour le cyberespionnage.”
L’intégration de cette faille dans le framework “BlackHole” (et autre framework d’exploit du même genre) est bien plus préoccupante …
“Mac OS X, Windows et Ubuntu”
… heu depuis quand ubuntu représente tout les systèmes linux ?
Pour les dev Java, voici un petit morceau de code pour utiliser cette faille : http://pastie.org/pastes/4594319/text
Yaura pas de fix officiel avant le 16 octobre, ils l’ont annoncé.
..En même temps Minecraft ca n’aide pas pour les failles..
MOUAHHAHAHAHAHAHAHAH
Le virus Gendarmerie passe via cette belle merde de java 😡
Faites comme moi l’installer pas, d’ailleurs j’en ai jamais eu besoin ces dernières années !!
Java = Javascript ? faut il décocher javascript ?
L’implémentation libre de java est clean, donc stop le FUD DolpaD
Une faille Java c’est normal, Java est située sur une faille !
“les plaques tectoniques s’effondrent sous le Pakistan et l’Indonésie – une baisse de 20 pieds des berges de Java confirmée par Google Satellite”.
Bon puisque j’ai pompé je cite la source :
http://www.bing.com/search?q=java+techtonique&form=BIE9SE&pc=BIE9&src=IE-SearchBox
C’est pour rire bien-sûr, mais je n’ai plus les émoticons, alors je précise.
A voir:
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html
Chocapix : j’utilisait un pc avant que tu sois né et j’ai jamais eu besoin d’antivirus (ça me fait chier d’investir dans un proc pour l’utiliser à moitié à cause de ces machins, sans parler des bugs que ça génère).
D’ailleurs sous Linux la faille elle doit pas donner grand cho1se, tu peux essayer d’exécuter ton code mais il faut encore trouver une autre faille dans le système pour vraiment faire des dégâts. Je doute qu’un pirate s’ennuie à cibler un OS minoritaire…Enfin tous les goûts sont dans la nature.
Bonjour,
On va éclaircir quelques points :
1) Java et Javascript sont deux langages totalement différents. Donc aucune peur à avoir pour JS.
2) Deuxièmement @Chocapix, tu auras beau prendre toutes les précautions du genre à part désactiver JAVA, le désinstaller ou alors n’autoriser aucun applet tu seras toujours une victime potentielle. Si ton surf se résume à Google tu as peu de risques mais pour les autres on ne sait jamais. Même un site avec des admins de confiance. Un petit coup d’attaque XSS, puis ton JS insère dans le DOM de la page un applet JAVA et voilà le tour est joué.
3) @peaknoise : Un bon firewall ne changera pas grand chose puisque pour lui le contenu de l’applet sera légitime. Et puis avec un peu de chance la personne connectée sera administratrice et même pas besoin d’élévation de privilèges.
Bah alors le JDG on se traine! Sa fait plusieurs jours que Korben l’a posté cette news …
On ralenti son rythme de copier/coller/reformuler :-\
Comme d’autres commentaires je suis assez étonné de l’amalgame entre Ubuntu et gnu/linux… et cela est d’autant plus choquant que les dernières distrib Ubuntu et debian ne distribuent plus les binaires provenant d’Oracle à cause de licence restrictive de la part d’Oracle.
Donc en réalité si je ne m’abuse, c’est juste faux sur la distribution Ubuntu (a moins de se rendre fou a installer cette verrue au lieu de l’équivalent ouvert… mais les utilisateurs qui confondent les distribs et les os ne le feront pas).
Aussi, pour info Oracle a sorti un patch correctif hier. cependant si ils sont au courant depuis avril c’est encore une preuve que les projets opensource sont bien plus rapide à résoudre les pb de sécurité…
Et sans Java, on fait comment pour jouer à Minecraft ? –“
Tres bon articles ca traite l’actu.
Les gens faut pas oublié qu’on est sur JDG a partir de la hormis les actus qui ne traite pas techniquement des details de la vuln on peut les critiquer :p
Donc je trouve que l’article est bon dans le contexte JDG.
Merci a toi chrystelle
Bon ben voila a priori c’est réglé !
http://korben.info/oracle-met-a-jour-java-alors-zavez-survecu.html
Il y a toujours eu des paranos !
Milhouse57 c’est pas reglé ya un 0 day dans le nouveau patch 🙂
Faille corrigée
installer la mise à jour 07 de la version 7 de java 🙂
merci pour la java