Fermer le menu
 

Java 7 : encore des failles de sécurité

Stéphane Moussie | | 10:41 |  46

À peine corrigé, Java fait l'objet de nouvelles et énièmes failles de sécurité. L'entreprise Security Explorations explique sur la liste Full Disclosure qu'elle a pu contourner le sandboxing (bac à sable) de Java 7 Update 11 (1.7.0_11-b21). Les deux vulnérabilités ont été communiquées à Oracle.

Il y a moins de deux semaines, Apple avait désactivé le plug-in Java 7 à la suite d'une grosse faille de sécurité. Oracle avait rapidement sorti une mise à jour pour corriger le problème. Or, la dernière version de Java 7 fait toujours l'objet de failles comme le démontre Security Explorations. Pour désactiver Java dans son navigateur, il faut se rendre dans les préférences de Safari puis l'onglet Sécurité et là, décocher Java. Pour Firefox et Chrome, la procédure est la même.

Catégorie : 
Tags : 

Les derniers dossiers

46 Commentaires

avatar John McClane 21/01/2013 - 10:51

Est-ce qu'il faut aussi désactiver JavaScript ou c'est autre chose?

avatar RedMak 21/01/2013 - 10:53

Non c'est pas la même chose ;) laissez le activé.

avatar pat3 21/01/2013 - 10:53

Et sur iOS? Y a-t-il Java et comment faire pour le désactiver si c'est le cas?

avatar joneskind 21/01/2013 - 10:54

@John McClane :

Non c'est bon ça n'a rien à voir !

Sinon, pour en revenir à la News. Dire que la CS d'adobe est toujours dépendante de cette merde, c'est aberrant.

avatar albinoz 21/01/2013 - 11:02

@joneskind
J'attend plus que ca pour viré cette merde definivement :/

avatar misc 21/01/2013 - 11:04

Par pitié qu'on en finisse, ma banque en ligne (et pire, celle de ma mère) l'utilise

avatar BS0D 21/01/2013 - 11:18

@John MacLane: non c'est 2 choses différentes, explications ici : http://underurhat.com/tips-tricks/the-difference-between-java-and-javascript/.

avatar oomu 21/01/2013 - 11:25

@pat3 [21/01/2013 10:53]

java n'existe pas dans iOS. iOS est une table rase : aucun greffon tel que java ou flash.

-
aussi dingue que cela puisse paraitre, il n'y a aucun rapport entre java et javascript. Ni javascript est la version "script" de java, ni ce sont les même concepteurs, ni le même rôle ni même la syntaxe (à part bien sur un vague héritage C).

avatar oomu 21/01/2013 - 11:25

@misc [21/01/2013 11:04]

changez de banque :)

avatar nifex 21/01/2013 - 11:36

J'ai pu désactiver java dans safari mais pour google chrome, firefox et opera impossible de trouver l'option java... Où ce trouve elle ?? Merci

avatar JPTK 21/01/2013 - 11:39

Dans chrome c'est dans confidentialité > paramètres de contenus

avatar liocec 21/01/2013 - 11:48

@nifex :
"Paramètres", puis en bas "afficher param avancés", puis "paramètres de contenu", tu laisses Javascript, tu descends jusqu'à "désactiver plug-in individuels" et tu désactives "java(TM)" qui va passer en gris.

avatar joneskind 21/01/2013 - 12:02

@misc :

Moi j'utilise Bankin' ou l'App de ma banque. C'est quand même un comble que les banques utilisent un truc aussi faillible. Ça me fait quand même bien marrer. Une petite pensée pour les Andrusers qui eux ne pourront jamais faire sans.

avatar lmouillart 21/01/2013 - 12:29

Pareil ce plugin est seulement utilisé par ma banque pour certaines fonctionnalités.

avatar eseldorm 21/01/2013 - 12:38

@nifex : chrome://plugins/

avatar Trollolol 21/01/2013 - 12:39

joneskind [21/01/2013 12:02] via MacG Mobile

"Une petite pensée pour les Andrusers qui eux ne pourront jamais faire sans. "

Et ? En quoi le fait ques les apps android soient en Java pose un soucis ?

avatar nifex 21/01/2013 - 13:23

Ok merci à tous pour votre aide !!

avatar Orus 21/01/2013 - 13:42

"Pour Firefox et Chrome, la procédure est la même"... C'est totalement faux.
Soyez un peu précis, car là on se croirait sur 20 minutes ou Le Parisien.
Cela ne fait pas très serieux.

avatar DVP 21/01/2013 - 14:32

Qu'est ce qu'il faut pas lire...

Le problème ca n'est pas java, mais le plugin java des navigateurs, ce qui n'a rien à voir.
L'applet utilisé par la banque n'est pas "faillible" (ou si elle l'est ça n'est pas cause de java mais à cause de la façon dont elle a été programmée)

Dire qu'il faut changer de banque parce qu'elle utilise une applet java et que c'est donc dangereux, c'est aussi crétin que de dire qu'il faut changer de banque parce que son site internet peut être visité depuis Windows sur lequel il y a plein de virus et de malwares toujours aux aguets pour intercepter vos identifiants et vider votre compte.

Attention, je ne dis pas qu'il n'y a pas de problème.
Effectivement, avoir une banque qui utilise java oblige à activer le plugin et donc expose l'utilisateur à des problèmes si il vient à visiter un site infecté.

avatar joneskind 21/01/2013 - 16:03

@DVP [21/01/2013 14:32]

"Qu'est ce qu'il faut pas lire...

Le problème ca n'est pas java, mais le plugin java des navigateurs, ce qui n'a rien à voir."

Le fait est qu'à partir du moment où Java est installé sur ton ordinateur tu as du code Java qui peut s'exécuter. Le problème n'est pas tant la manière dont les pages internet des banques sont codées que le fait que ces sites nécessitent Java. Ce qui implique que tu ouvres la possibilité à d'autres sites malveillants de percer ton système.
Pour essayer de faire plus simple. Si une assurance te disais "on veut bien vous assurer mais pour ça vous devez installer des portes sans verrous" tu comprendrais tout de suite où je veux en venir. C'est pas l'assureur qui va venir te cambrioler mais cette exigence facilite le boulot des voleurs. C'est un peu le même cas de figure ici.

avatar joneskind 21/01/2013 - 16:11

@Trollolol [21/01/2013 12:39]

joneskind [21/01/2013 12:02] via MacG Mobile

"Une petite pensée pour les Andrusers qui eux ne pourront jamais faire sans. "

Et ? En quoi le fait ques les apps android soient en Java pose un soucis ?

Ce qui pose souci c'est que Android est exposé aux failles de Java parce que Java est intégré à son noyau. C'est pas les mêmes failles d'accord parce que ce n'est pas le même Java mais ça prouve bien que le système n'est pas sûr. Java sur Android a les autorisations pour exécuter du code. Si Java a une faille c'est l'ensemble du système qui est exposé. Un noyau UNIX pur aurait au moins permis à Android de n'être exposé qu'aux failles du noyau UNIX et pas en plus aux failles Java. C'est la double peine. Ça ne veut pas dire qu'un noyau Unix est à l'abri de toute faille. Juste que ce n'est pas la peine d'en rajouter. Et malheureusement pour toi, Android ne fonctionne pas sans Java.

avatar Goldevil 21/01/2013 - 16:21

Il y a des failles dans TOUS les systèmes, iOS et Mac OSX compris. La plupart du temps le jailbreak fonctionne grâce à une faille qui permet de prendre la main sur le système pour le modifier à votre convenance.

avatar joneskind 21/01/2013 - 17:01

@Goldevil :

C'est bien vrai. Raison de plus pour ne pas en rajouter en donnant des autorisations à un logiciel comme Java. Si tu veux sécuriser un coffre fort t'ajoutes pas une porte.

avatar totorino 21/01/2013 - 17:42

Beaucoup ici parlent de Java sans vraiment connaître.
Java est incontournable n'en déplaise aux fanboy Macuser de base.
Nos client utilisent nos applications Java sur Mac avec bonheur sans aucun problème même en ayant désactivé ce fameux plugin...

avatar joneskind 21/01/2013 - 18:02

"Java est incontournable n'en déplaise aux fanboy Macuser de base."

Pas besoin d'être un fanboy Macuser de base pour se rendre compte que Java est une merde, toutes plateformes confondues. D'ailleurs les gens sérieux que je connais sous Windows ou Linux l'ont tous désactivé. C'est pas parce que tes clients profitent bien de leurs Apps codées en Java (pour que TES devs n'aient pas à se faire chier à coder en natif) que ça fait de Java un bon langage. Java est une faille de sécurité qu'il faut éradiquer.
Il n'y a pas que dans le navigateur que Java pose problème. Si tu télécharges une app en apparence inoffensive (elle ne demande pas le mot de passe administrateur) qui utilise Java, une faille de sécurité peut parfaitement permettre à du code malicieux de s'exécuter. Pas la peine de dresser un procès en incompétence, d'autant que tu n'as pas le moindre argument autre que "mes clients sont contents, Java est incontournable".

Pages