Nouvelle vulnérabilité Java

Mise à jour du 14 janvier 2013 à 14:51: La société Security Explorations, par la voix de son PDG Adam Gowdiak, a publié un long billet explicatif sur Seclists.org expliquant que le patch d’Oracle était incomplet. De fait, le correctif ne fonctionne pas complètement et plusieurs types d’exploitations peuvent donc continuer. Gowdiak a par ailleurs indiqué à Reuters que Security Explorations ne pouvait en conséquence toujours pas conseiller « aux utilisateurs qu’il est sûr de réactiver Java ».

Nous vous prévenions vendredi qu’une faille critique dans Java était déjà exploitée et avait le potentiel de faire de nombreux dégâts. Oracle, visiblement conscient du caractère exceptionnel de la situation, a réagi promptement.

Vendredi 11 janvier, nous avertissions d’une faille critique dans Java, y compris dans la dernière mouture entièrement mise à jour (version 7 Update 10). Un applet Java c**çu spécialement pour exploiter cette faille pouvait tromper le Security Manager pour provoquer une escalade dans les privilèges et ainsi obtenir les pleins pouvoirs. De fait, un simple site pouvait se transformer en distributeur de malwares en tous genres, notamment de keyloggers (enregistreurs de frappe).


Kaspersky indiquait par exemple avoir découvert une exploitation de plus en plus massive de la faille sur des sites tout ce qu’il y a de plus classique. La recette utilisée passe souvent par des publicités qui, une fois cliquées, renvoient vers des domaines hébergeant l’implémentation de la faille par un kit d’exploitation tel que Red Kit, Blackhole ou encore Nuclear. L’éditeur de solutions de sécurité a par ailleurs publié une carte montrant les zones les plus touchées. On notera que la Russie, les États-Unis ou encore l’Allemagne et le Brésil sont nettement plus touchés.



Toutefois, Oracle vient de mettre à jour Java via une mouture « Update 11 ». L’éditeur y apporte deux modifications. D’une part, la faille elle-même est colmatée, court-circuitant de fait l’ensemble des exploitations en cours. La nouvelle version peut se télécharger depuis le site officiel d’Oracle ou depuis le panneau de contrôle Java dans le panneau de configuration ou équivalent.



D’autre part, le niveau de sécurité par défaut de Java a changé. Il passe en effet de « Moyen » à « Élevé ». Cela modifie la manière dont les applets qui n’ont pas été signés seront exécutées dans la sandbox (espace mémoire isolé). Dans la pratique, et comme l’explique Oracle, les utilisateurs exécutaient les applets de manière transparente si la dernière révision de l’environnement Java était installée. Désormais, tout applet génèrera automatiquement un avertissement demandant à l’utilisateur une confirmation avant l’exécution.



On rappellera tout de même que Java est de moins en moins utilisé sur le web. De fait, si vous ne vous en servez pas, il vaut mieux le désinstaller, ce qui vaut techniquement pour n’importe quel élément : moins il y a de composants tiers sur un ordinateur, moins la surface de code exploitable est importante. Pour ceux qui auraient besoin de Java (les joueurs de Minecraft par exemple), il est possible de le désactiver uniquement pour le navigateur depuis son panneau de gestion, dans l’onglet Sécurité.


Source : PCInpact

Source : Oracle

source CCM :

Faille du plugin Java : Oracle poursuit sa course effrénée aux correctifs

Oracle, l'éditeur de Java, vient d'annoncer la publication de deux nouveaux correctifs en urgence pour pallier deux failles affectant le plugin Java des navigateurs. Une nouvelle étape dans cette course aux patches, aux airs d'éternel recommencement.

Ces deux patches publiés en urgence visent à corriger deux vulnérabilités dont l'éditeur précise qu'elles ont déjà été exploitées par des attaquants. "Pour que cette faille soit exploitée avec succès, il faut que l'utilisateur d'une version (de l'environnement d'exécution Java) concernée (à savoir la plupart de mises à jour des versions 5, 6, 7), visite une page web infectée permettant aux pirates de tirer partie de la vulnérabilité.

"Appliquer les mises à jour dès que possible"
Dans un bulletin publié hier, Oracle "recommande fortement à ses clients" d'appliquer dès que possible les mises à jour". Cette opération s'effectue depuis le site de java

La suite d'une longue série, alors que les autorités américaines recommandaient il y a quelques semaines de désactiver purement et simplement Java des navigateurs web, compte tenu "des nouvelles vulnérabilités susceptibles d'être découvertes"

Sur CommentCaMarche
Cet article vous explique comment désactiver Java sur ses navigateurs web

Bruno