Faille Java: Oracle distribue un correctif, les doutes subsistent

Discussion dans 'High tec' créé par zmor20, 15 Janvier 2013.

  1. zmor20

    zmor20 Le Fou

    J'aime reçus:
    4963
    Points:
    113
    [​IMG]


    Le 11 janvier dernier, Washington appelait à désactiver Java à cause d'une faille critique exploitable par les pirates. Oracle a proposé lundi un patch correctif. Mais tous les problèmes ne seraient pas réglés.

    Le groupe américain Oracle distribuait lundi un patch pour corriger des failles dans le logiciel Java, jugées tellement dangereuses que le département américain de la Sécurité intérieure a appelé à cesser de l'utiliser.

    Dans un message sur son blog officiel, Oracle recommande que le patch correctif "soit appliqué aussi vite que possible parce que ces problèmes peuvent être exploités" par des pirates informatiques. Cette vulnérabilité du logiciel, qui fonctionne en général comme un "plug-in" dans les explorateurs internet, peut être utilisée par des pirates pour pousser les internautes à aller sur des sites piégés.


    Les spécialistes en informatique du département de la Sécurité intérieure, qui avaient déjà appelé la semaine dernière à cesser d'utiliser Java, continuent malgré tout de déconseiller son usage "à moins que cela soit absolument nécessaire", pour "limiter les effets d'autres vulnérabilités qui peuvent être découvertes à l'avenir", selon un avis publié sur internet.

    D'autres spécialistes déconseillent toujours à ne pas utiliser le logiciel. Interrogé par Reuters, le spécialiste HD Moore ne se montre pas particulièrement optimiste pour la suite: "la chose la plus sûre à ce stade est de considérer que Java restera toujours vulnérable. Les gens n'ont pas réellement besoin de Java sur leur poste de travail"

    Le logiciel Java avait été créé par Sun Microsystems, qui a ensuite été racheté par Oracle. Il est populaire car il permet de créer des sites internet dans un code qui est compréhensible quel que soit le système d'exploitation de l'ordinateur voulant y accéder.



    Source : http://lexpansion.lexpress.fr/high-...n-correctif-les-doutes-subsistent_368624.html
     
  2. titegazelle

    titegazelle سُبحَانَ اللّهِ وَ بِحَمْدِهِ Membre du personnel

    J'aime reçus:
    4181
    Points:
    113
    [SUB]o malek 7a6 lina dik lbarma dial la7rira ! [22h]
    FireFox diali l'a automatiquement désactivé :p:
    Merci pour l'information.... :lool:
    [/SUB]
     
  3. zmor20

    zmor20 Le Fou

    J'aime reçus:
    4963
    Points:
    113
    safi welliti katkheddmi firefox éééééééh fin yyamat dactylo 39alti 39alti :lool:

    ana désactivitha 7ta men internet explorer wakha ma kansta3mlouch, lwe9t we zman :cool:
     
  4. RedEye

    RedEye - أبو عبدالرحمن - Membre du personnel

    J'aime reçus:
    4153
    Points:
    113
    ana mkhallih, aslane makandkhoulsh les sites elli fihoum les applets java, w les sites en jsp 9laale
     
  5. RedEye

    RedEye - أبو عبدالرحمن - Membre du personnel

    J'aime reçus:
    4153
    Points:
    113
    Java : découverte de deux nouvelles failles dans le correctif d'Oracle

    Java : découverte de deux nouvelles failles dans le correctif d'Oracle, la qualité du code inquiétante pour Security Explorations


    Une semaine à peine après la sortie du correctif de sécurité d’urgence Java 7u11, les experts en sécurité découvrent de nouvelles failles dans la plateforme de développement.

    Le cabinet de sécurité Polonais Security Explorations vient de publier un nouveau bulletin de sécurité sur deux nouvelles vulnérabilités dans Java 7u11, pouvant être exploitées pour contourner la sécurité du sandbox pour exécuter du code arbitraire sur les postes affectés.

    Pour l’instant, cette vulnérabilité ne serait pas encore activement exploitée. Security Explorations a déclaré qu’il n’avait découvert aucun exploit reposant sur cette faille. Mais, pour combien de temps ?

    Les détails sur le problème ainsi qu’une preuve de réalisation ont été transmis à Oracle. Security Explorations s’est abstenu de les divulguer publiquement afin de limiter les risques.

    Face à la recrudescence des failles dans Java, le PDG de Security Explorations, Adam Gowdiak, estime qu’il y a « clairement quelque chose d’inquiétant dans la qualité du code de Java 7 SE », avant d’ajouter que c’est certainement la conséquence du manque d’un cycle de développement axé sur la sécurité (Secure Development Lifecycle).

    HB Moore, le créateur du kit de piratage Metasploit, pense, pour sa part, qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.

    Néanmoins, les risques de ces failles peuvent être atténués par Java 7u11, qui introduit une nouveauté permettant de générer un message d’avertissement avant d’exécuter un Applet non signé.

    Le cabinet de sécurité Trend Micro note cependant la circulation des fausses versions de cette mise à jour qui permettent d’installer des backdoor sur le poste des utilisateurs. Il est donc conseillé de télécharger cette mise à jour sur le site d’Oracle.

    Les experts en sécurité suggèrent de toujours maintenir le plugin Java bloqué, ou de complètement désinstaller la plateforme pour les personnes qui ne l’utilisent pas.



    Sources : Developpez.com - Full Disclosure - Trend Micro
     
  6. titegazelle

    titegazelle سُبحَانَ اللّهِ وَ بِحَمْدِهِ Membre du personnel

    J'aime reçus:
    4181
    Points:
    113
    Salam, Weld 3ommi
    Ces derniers temps, je reçois ce message :
    Dois-je faire la mise à jour ?
    Merci pour l'information et pour ta réponse :)
     

    Fichiers attachés:

    • java.jpg
      java.jpg
      Taille de fichier:
      25.3 KB
      Affichages:
      11
  7. RedEye

    RedEye - أبو عبدالرحمن - Membre du personnel

    J'aime reçus:
    4153
    Points:
    113
    oui oui c mieux de tjr faire la mise à jour, mais si tu n'accède pas aux sites qui utilisent les applets java, (par exemple des sites pour télécharger la vidéo et le son de youtube), alors tu peux carrément le désinstaller..
     

Partager cette page