S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

Java : une faille critique, un milliard de PC potentiellement vulnérables

La java des bombes atomiques

Java fait une nouvelle fois parler de lui et de sa sécurité. Une faille critique a été découverte et son impact est potentiellement très important puisqu’elle affecte les versions 5, 6 et 7 de l’environnement. Le découvreur de la faille estime ainsi que plus d’un milliard de personnes pourraient être touchées.

java

Une faille critique pour Java 5, 6 et 7

Fin août, une faille critique était découverte au sein de Java. En l’espace de quelques jours, le sujet avait fait le tour des médias spécialisés et des exploitations avaient été découvertes. De nombreux experts en sécurité recommandaient alors de désactiver Java le temps que le correctif arrive. Oracle avait réagi promptement en publiant ensuite le fameux correctif.

 

La nouvelle faille dispose visiblement d’un large potentiel de destruction. D’une part, elle affecte les versions 5, 6 et 7 de la machine virtuelle, même quand elles sont à jour. D’autre part, Java oblige, elle peut toucher les utilisateurs de tout système d’exploitation où Java est installé. Enfin, et surtout, la faille permet de violer une règle de sécurité jugée comme fondamentale dans la sandbox de la machine virtuelle, permettant ainsi de traverser son périmètre de sécurité qui l’isole normalement du système d’exploitation.

 

Les moutures touchées de Java comprennent en outre les dernières préversions pour les développeurs :

  • Java SE 5 Update 22 (build 1.5.0_22-b03)
  • Java SE 6 Update 35 (build 1.6.0_35-b10)
  • Java SE 7 Update 7  (build 1.7.0_07-b10)

Les tests ont été réalisés avec l’ensemble des navigateurs et toutes les dernières versions (ou presque) ont été impactées, une conséquence logique puisque Java ne dépend pas du butineur. Par ailleurs, ces tests ont été menés sous un Windows 7 32 bits à jour, mais l’exploitation fonctionnerait sur d’autres plateformes, notamment OS X. À noter que pour ce dernier, Snow Leopard était le dernier système à intégrer systématiquement Java. Toutefois, dans les cas de Lion et Mountain Lion, le moindre besoin de l’environnement en proposait le téléchargement. Plus récemment, Oracle a récupéré la pleine maitrise de Java sur OS X, mais la faille est présente puisque la machine virtuelle est la même que celle distribuée (entre autres) sous Windows.

Pas d'exploitation active pour le moment

L’annonce de la découverte a été faite par Adam Gowdiak, PDG de la société polonaise Security Explorations, sur la mailing list Full Disclosure. Interrogé par Computer World, Gowdiak indique que cette faille est plus dangereuse que celle du mois dernier qui ne touchait que Java 7. Il indique par ailleurs avoir découvert la brèche la semaine dernière mais n’avoir averti Oracle que mardi, prenant le temps de créer un proof-of-concept, c’est-à-dire un morceau de code permettant de mettre la faille en évidence.

 

Selon Adam Gowdiak, Oracle a reconnu l’existence de la faille hier. Mais la question qui se pose maintenant est bien sûr celle de sa correction. Or, Oracle ne compterait pas diffuser de patch avant le prochain cycle de mises à jour, prévu pour le 16 octobre. Bien que ces trois semaines de vide puissent être dommageables, signalons que le contexte est très différent de la faille de fin août : à l’heure actuelle, aucune exploitation active n’aurait été détectée selon Gowdiak. En outre, on peut noter sur Full Disclosure qu’il donne très peu de détails réels sur la faille, rabrouant d’ailleurs un participant qui le lui faisait remarquer.

 

Mais en attendant, que faire ? Le conseil de Gowdiak est le même que celui du mois dernier : désactiver la machine virtuelle Java le temps qu’un correctif soit déployé par Oracle. En attendant que l’éditeur ne se manifeste (sa liste des alertes de sécurité n’a pas été mise à jour pour l’instant), nous vous signalons à nouveau ci-dessous les méthodes de désactivation dans les navigateurs les plus courants. 

Désactiver Java

  • Internet Explorer

Se rendre dans les Options Internet, puis dans l’onglet Programmes. Cliquer sur « Gérer les modules complémentaires » et chercher Java dans la liste :

 

java

  • Firefox

Se rendre dans le menu Outils, puis cliquer sur Modules Complémentaires :

 

java

  • Chrome

Cliquer sur la clé à molette en haut à droite du navigateur, puis sur Paramètres. Cliquez sur le bouton Paramètres de contenu dans la zone « Confidentialité », puis sur le lien « Désactiver les plug-ins individuels » dans la partie « Plug-ins » :

 

java java

  • Safari

Se rendre dans les paramètres du navigateur, puis dans l’onglet Sécurité :

 

java

Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 27/09/2012 à 10:08

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 46 commentaires

Avatar de ashyvan INpactien
ashyvan Le jeudi 27 septembre 2012 à 10:20:23
Inscrit le vendredi 2 octobre 09 - 195 commentaires
Firefox me l'a désactivé tout seul hier. J'ai installé l'update 7 pensant que ce n'était qu'une erreur.
Avatar de Yuan INpactien
Yuan Le jeudi 27 septembre 2012 à 10:20:40
Inscrit le jeudi 31 juillet 08 - 4 commentaires
Pour Opera:
Taper opera:plugins dans la barre d'adresse et chercher "Java Applet Plug-in".
screenshot

Edité par Yuan le jeudi 27 septembre 2012 à 10:21
Avatar de FrenchPig INpactien
FrenchPig Le jeudi 27 septembre 2012 à 10:21:56
Inscrit le mercredi 4 mars 09 - 3531 commentaires
en tant qu'utilisateur "lambda" (pas complètement noob non plus), je me rend compte que java ne me sert finalement à rien...
Avatar de ActionFighter INpactien
ActionFighter Le jeudi 27 septembre 2012 à 10:22:49
Inscrit le lundi 7 février 11 - 7510 commentaires
Quand je vois la version qu'on a au taf, je me dis qu'il y a un sacré problème de gestion des risques informatiques

java -version
java version "1.4.2_04"
Java(TM) 2 Runtime Environment, Standard Edition (build 1.4.2_04-b05)
Java HotSpot(TM) Client VM (build 1.4.2_04-b05, mixed mode)
Avatar de neves INpactien
neves Le jeudi 27 septembre 2012 à 10:27:44
Inscrit le samedi 9 octobre 04 - 2578 commentaires
Ça sera toujours la même rengaine, tant qu'on continuera à imposer ce plugin Java inutile dans les navigateurs Web.

Il y a 46 commentaires

;