Failles « 0 day » dans Java SE 7

{0 Comments}

Bonjour,

cette petite news pour vous signaler que depuis quelques jours deux failles de sécurité majeures ( 0day ) ont été décelées dans le langage multiplateforme Java dans sa dernière version SE 7 (update 6)

Les versions précédentes ne sont pas exposées. ( mais présentent aussi plusieurs failles mineures)

La vulnérabilité touche tous les OS (Linux, Mac Osx, et Windows) et est exploitable par les navigateurs web par simple navigation sur une page web compromise.

Les techniques d’utilisation ont été rendues publiques dans les sites spécialisés et les plus grands outils de pentesting présentent d’ores et déjà des modules pour son exploitation massive, ce qu’indique que les attaques basées sur cette vulnérabilité vont se multiplier exponentiellement ces prochains jours;

Une première variante de malaware pour Mac exploitant cette faille a été isolée par Intego http://www.intego.com/mac-security-blog/osxtsunami-variant-found-dropped-by-java-0-day/ )

Aucun correctif officiel n’existe actuellement. ( à l’état actuel Oracle ne prévois pas de mis à jour avant le mois d’octobre)

Les Mac sont relativement immunisés puisque les dernières versions de Java ne s’installent plus automatiquement par le logiciel de mis à jour Apple (la dernière officielle dans OSX étant la version 6)

Cela signifie que le fait d’avoir la version 7 installée dans Mac OSX découle normalement d’un choix volontaire et conscient (au moins qu’une application tierce l’ait demandée en prérequis)

Néanmoins, l’ampleur de cette faille avec son impact dans l’utilisation professionnelle et domestique de l’informatique et les multiples vulnérabilités des versions précédentes justifient, à mon avis, ce petit message de sensibilisation.

Actuellement les seules solutions de contournement consistent dans la désinstallation de Java ou la désactivation du module de ce produit dans les navigateurs.

L’installation d’un antivirus à jour reste et sera de plus en plus une très bonne recommandation.

Des versions « patchés » non officielles mises à jour par dés firmes de sécurité IT ( par ex. http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html ) sont disponibles à l’attention des sociétés faisant tourner des applications critiques nécessitant la version 7 de Java.

Pour contrôler, la version installée sur votre poste:

http://www.java.com/fr/download/installed.jsp

Pour désactiver Java dans Windows et vos navigateurs:

http://www.gdata.fr/security-labs/news/news-details/article/2892-faille-0day-java-7-se-prote.html

Pour désinstaller Java 7 de vos Mac:

https://www.java.com/fr/download/help/mac_uninstall_java.xml

Pour désactiver les versions précédentes de Java dans vos Mac:

http://www.myiblog.fr/2012/04/13/desactiver-completement-java-dans-macos-x/

Pour désinstaller Java dans Linux:

http://www.java.com/fr/download/help/linux_uninstall.xml

——

Références techniques:

Première faille

http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html

Deuxième faille

http://immunityproducts.blogspot.com.ar/2012/08/java-0day-analysis-cve-2012-4681.html?m=1

[MàJ] 31.08.2012

Oracle viens de publier le patch pour corriger les failles mentionnées, si vous avez la version 7 je vous recommande fortement de l’installer:

Annonce:

https://blogs.oracle.com/security/entry/security_alert_for_cve_20121

Download:

http://java.com/fr/download/mac_download.jsp?locale=fr

La rumeur selon la quelle Oracle était au curant de ces problèmes depuis au moins deux mois est confirmée:

http://www.zdnet.fr/actualites/faille-critique-de-java-oracle-savait-depuis-4-mois-39775559.htm

 

0 Comments…

 Share your views

Leave a Comment

Your email address will not be published.

*

{ 1 Trackback }

  1. Failles « 0 day » dans Java SE 7 le retour (Pingback)