S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Microsoft annonce la XBox One

Nouvelle faille déjà exploitée pour Java : prudence recommandée

Coupez Java dans le navigateur si vous ne vous en servez pas

Une faille a été repérée dans Java (version 7, mise à jour 9 et 10) qui permet « l’exécution de code arbitraire à distance » alerte le bulletin du CERTA.

java

 

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) conseille sans plus attendre et provisoirement « de désactiver Java tant qu’un correctif n’est pas diffusé par l’éditeur ». Et pour cause, la vulnérabilité dans le produit d’Oracle « permet une exécution de code arbitraire à distance au moyen d’une page Web spécialement conçue ». La faille n’est pas potentielle puisque « cette vulnérabilité est activement exploitée et largement diffusée » indique l’ANSSI.

 

Le Cert américain ajoute que cette attaque peut être menée par un utilisateur distant et non authentifié. Plus en détail, il faut savoir que chaque applet dans une page web ne peut s’exécuter que si un Security Manager est présent. Dans la plupart des cas, il s’agit de celui fourni par le navigateur, sinon de celui fourni par le plug-in Java Web Start. Une méthode permet à l’applet d’interroger la configuration pour savoir avec quels composants communiquer. Via plusieurs failles, un tel applet pourrait provoquer une escalade de privilèges pour obtenir du Security Manager les pleins pouvoirs.

 

Le principal problème de cette faille Java est qu’elle est exploitable et est déjà exploitée sur des installations entièrement à jour (Java 7 Update 10). En plus des organismes officiels de surveillance, la faille a été reproduite puis confirmée par AlienVault, qui avertit d’ailleurs dans son blog que les kits d’exploitation Blackhole et Nuclear Pack permettent déjà de l’utiliser.

 

java

 

Tous conseillent la désactivation temporaire de Java dans le navigateur web. La solution la plus simple, sous Windows, OS X ou autre, est de se rendre dans les paramètres de Java qui se trouvent dans le Panneau de configuration ou équivalent. De là, il faut cliquer sur l’onglet Sécurité puis désactiver la ligne concernant « le contenu Java dans le navigateur », ainsi que nous vous le montrons dans la capture ci-dessus.

Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Le 11 janvier 2013 à 17:32 (22 778 lectures)

Il y a 70 commentaires

Avatar de scullder INpactien
scullder Le vendredi 11 janvier 2013 à 17:36:48
Inscrit le mardi 29 juin 04 - 1227 commentaires
http://cdn-static.zdnet.com/i/story/60/52/016505/killitwithfire.gif

(désolé)
Avatar de Crysalide INpactien
Crysalide Le vendredi 11 janvier 2013 à 17:39:33
Inscrit le mardi 24 mars 09 - 5156 commentaires
Bonne année, Java !
Avatar de Muzikals INpactien
Muzikals Le vendredi 11 janvier 2013 à 17:45:56
Inscrit le vendredi 18 janvier 08 - 803 commentaires
M'en fout, je suis toujours avec la branche 6 \o/
Avatar de j-c_32 INpactien
j-c_32 Le vendredi 11 janvier 2013 à 18:00:28
Inscrit le jeudi 11 juin 09 - 1883 commentaires
Est-ce que cette faille est présente avec IcedTea ?
Avatar de dricks INpactien
dricks Le vendredi 11 janvier 2013 à 18:01:57
Inscrit le lundi 3 octobre 05 - 1647 commentaires
Pour la nième fois, si il y a des gens qui ont encore cette saloperie d'activée, c'est qu'ils méritent de se faire infecter.

"Tous conseillent la désactivation temporaire de Java dans le navigateur web."
Moi, je conseille la désactivation ferme et définitive.
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.

Il y a 70 commentaires