Mai 2013
Lun	Mar	Mer	Jeu	Ven	Sam	Dim
	1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

Java 7 : encore des failles de sécurité

par Stéphane Moussie le 21.01.2013 à 10:41

À peine corrigé, Java fait l'objet de nouvelles et énièmes failles de sécurité. L'entreprise Security Explorations explique sur la liste Full Disclosure qu'elle a pu contourner le sandboxing (bac à sable) de Java 7 Update 11 (1.7.0_11-b21). Les deux vulnérabilités ont été communiquées à Oracle.

Il y a moins de deux semaines, Apple avait désactivé le plug-in Java 7 à la suite d'une grosse faille de sécurité. Oracle avait rapidement sorti une mise à jour pour corriger le problème. Or, la dernière version de Java 7 fait toujours l'objet de failles comme le démontre Security Explorations. Pour désactiver Java dans son navigateur, il faut se rendre dans les préférences de Safari puis l'onglet Sécurité et là, décocher Java. Pour Firefox et Chrome, la procédure est la même.

Tags: sécurité, Java, oracle

| |

Vos réactions (46 réactions)

John McClane [21/01/2013 10:51] via iGeneration pour iPad

Est-ce qu'il faut aussi désactiver JavaScript ou c'est autre chose?

RedMak [21/01/2013 10:53] via iGeneration pour iPad

Non c'est pas la même chose ;) laissez le activé.

pat3 [21/01/2013 10:53] via iGeneration pour iPad

Et sur iOS? Y a-t-il Java et comment faire pour le désactiver si c'est le cas?

joneskind [21/01/2013 10:54] via MacG Mobile

@John McClane :

Non c'est bon ça n'a rien à voir !

Sinon, pour en revenir à la News. Dire que la CS d'adobe est toujours dépendante de cette merde, c'est aberrant.

albinoz [21/01/2013 11:02]

@joneskind
J'attend plus que ca pour viré cette merde definivement :/

misc [21/01/2013 11:04]

Par pitié qu'on en finisse, ma banque en ligne (et pire, celle de ma mère) l'utilise 😵

BS0D [21/01/2013 11:18]

@John MacLane: non c'est 2 choses différentes, explications ici : http://underurhat.com/tips-tricks/the-difference-between-java-and-javascript/.

oomu [21/01/2013 11:25]

@pat3 [21/01/2013 10:53]

java n'existe pas dans iOS. iOS est une table rase : aucun greffon tel que java ou flash.

-
aussi dingue que cela puisse paraitre, il n'y a aucun rapport entre java et javascript. Ni javascript est la version "script" de java, ni ce sont les même concepteurs, ni le même rôle ni même la syntaxe (à part bien sur un vague héritage C).

oomu [21/01/2013 11:25]

@misc [21/01/2013 11:04]

changez de banque :)

nifex [21/01/2013 11:36] via MacG Mobile

J'ai pu désactiver java dans safari mais pour google chrome, firefox et opera impossible de trouver l'option java... Où ce trouve elle ?? Merci

JPTK [21/01/2013 11:39]

Dans chrome c'est dans confidentialité > paramètres de contenus

liocec [21/01/2013 11:48] via MacG Mobile

@nifex :
"Paramètres", puis en bas "afficher param avancés", puis "paramètres de contenu", tu laisses Javascript, tu descends jusqu'à "désactiver plug-in individuels" et tu désactives "java(TM)" qui va passer en gris.

joneskind [21/01/2013 12:02] via MacG Mobile

@misc :

Moi j'utilise Bankin' ou l'App de ma banque. C'est quand même un comble que les banques utilisent un truc aussi faillible. Ça me fait quand même bien marrer. Une petite pensée pour les Andrusers qui eux ne pourront jamais faire sans.

lmouillart [21/01/2013 12:29]

Pareil ce plugin est seulement utilisé par ma banque pour certaines fonctionnalités.

eseldorm [21/01/2013 12:38]

@nifex : chrome://plugins/

Trollolol [21/01/2013 12:39]

joneskind [21/01/2013 12:02] via MacG Mobile

"Une petite pensée pour les Andrusers qui eux ne pourront jamais faire sans. "

Et ? En quoi le fait ques les apps android soient en Java pose un soucis ?

nifex [21/01/2013 13:23] via MacG Mobile

Ok merci à tous pour votre aide !!

Orus [21/01/2013 13:42]

"Pour Firefox et Chrome, la procédure est la même"... C'est totalement faux.
Soyez un peu précis, car là on se croirait sur 20 minutes ou Le Parisien.
Cela ne fait pas très serieux.

DVP [21/01/2013 14:32]

Qu'est ce qu'il faut pas lire...

Le problème ca n'est pas java, mais le plugin java des navigateurs, ce qui n'a rien à voir.
L'applet utilisé par la banque n'est pas "faillible" (ou si elle l'est ça n'est pas cause de java mais à cause de la façon dont elle a été programmée)

Dire qu'il faut changer de banque parce qu'elle utilise une applet java et que c'est donc dangereux, c'est aussi crétin que de dire qu'il faut changer de banque parce que son site internet peut être visité depuis Windows sur lequel il y a plein de virus et de malwares toujours aux aguets pour intercepter vos identifiants et vider votre compte.

Attention, je ne dis pas qu'il n'y a pas de problème.
Effectivement, avoir une banque qui utilise java oblige à activer le plugin et donc expose l'utilisateur à des problèmes si il vient à visiter un site infecté.

joneskind [21/01/2013 16:03]

@DVP [21/01/2013 14:32]

"Qu'est ce qu'il faut pas lire...

Le problème ca n'est pas java, mais le plugin java des navigateurs, ce qui n'a rien à voir."

Le fait est qu'à partir du moment où Java est installé sur ton ordinateur tu as du code Java qui peut s'exécuter. Le problème n'est pas tant la manière dont les pages internet des banques sont codées que le fait que ces sites nécessitent Java. Ce qui implique que tu ouvres la possibilité à d'autres sites malveillants de percer ton système.
Pour essayer de faire plus simple. Si une assurance te disais "on veut bien vous assurer mais pour ça vous devez installer des portes sans verrous" tu comprendrais tout de suite où je veux en venir. C'est pas l'assureur qui va venir te cambrioler mais cette exigence facilite le boulot des voleurs. C'est un peu le même cas de figure ici.

joneskind [21/01/2013 16:11]

@Trollolol [21/01/2013 12:39]

joneskind [21/01/2013 12:02] via MacG Mobile

"Une petite pensée pour les Andrusers qui eux ne pourront jamais faire sans. "

Et ? En quoi le fait ques les apps android soient en Java pose un soucis ?

Ce qui pose souci c'est que Android est exposé aux failles de Java parce que Java est intégré à son noyau. C'est pas les mêmes failles d'accord parce que ce n'est pas le même Java mais ça prouve bien que le système n'est pas sûr. Java sur Android a les autorisations pour exécuter du code. Si Java a une faille c'est l'ensemble du système qui est exposé. Un noyau UNIX pur aurait au moins permis à Android de n'être exposé qu'aux failles du noyau UNIX et pas en plus aux failles Java. C'est la double peine. Ça ne veut pas dire qu'un noyau Unix est à l'abri de toute faille. Juste que ce n'est pas la peine d'en rajouter. Et malheureusement pour toi, Android ne fonctionne pas sans Java.

Goldevil [21/01/2013 16:21]

Il y a des failles dans TOUS les systèmes, iOS et Mac OSX compris. La plupart du temps le jailbreak fonctionne grâce à une faille qui permet de prendre la main sur le système pour le modifier à votre convenance.

joneskind [21/01/2013 17:01] via MacG Mobile

@Goldevil :

C'est bien vrai. Raison de plus pour ne pas en rajouter en donnant des autorisations à un logiciel comme Java. Si tu veux sécuriser un coffre fort t'ajoutes pas une porte.

totorino [21/01/2013 17:42]

Beaucoup ici parlent de Java sans vraiment connaître.
Java est incontournable n'en déplaise aux fanboy Macuser de base.
Nos client utilisent nos applications Java sur Mac avec bonheur sans aucun problème même en ayant désactivé ce fameux plugin...

joneskind [21/01/2013 18:02]

"Java est incontournable n'en déplaise aux fanboy Macuser de base."

Pas besoin d'être un fanboy Macuser de base pour se rendre compte que Java est une merde, toutes plateformes confondues. D'ailleurs les gens sérieux que je connais sous Windows ou Linux l'ont tous désactivé. C'est pas parce que tes clients profitent bien de leurs Apps codées en Java (pour que TES devs n'aient pas à se faire chier à coder en natif) que ça fait de Java un bon langage. Java est une faille de sécurité qu'il faut éradiquer.
Il n'y a pas que dans le navigateur que Java pose problème. Si tu télécharges une app en apparence inoffensive (elle ne demande pas le mot de passe administrateur) qui utilise Java, une faille de sécurité peut parfaitement permettre à du code malicieux de s'exécuter. Pas la peine de dresser un procès en incompétence, d'autant que tu n'as pas le moindre argument autre que "mes clients sont contents, Java est incontournable".

clasp [21/01/2013 18:16]

@joneskind

Apparemment tu ne connais pas java. "Si tu télécharges une app en apparence inoffensive (elle ne demande pas le mot de passe administrateur) qui utilise Java, une faille de sécurité peut parfaitement permettre à du code malicieux de s'exécuter." La principale utilisation de JAVA ne sont ni les apps androids ni les applet ni quelconque programme pour utilisateur final, mais des programmes destinés à fonctionner en tâche de fond sur des serveurs. Les principaux avantages sont : La machine virtuelle est séparée des autres processus, si le prgramme plante les autres ne sont pas affectés; le code étant interprété il y a une optimisation pendant l'exécution. Pour finir JAVA est le seul language a proposer autant de bibliothèques ce qui permet de réduire les coûts de développement chose non négligeable dans l'économie du web.

joneskind [21/01/2013 18:30]

@joneskind

"aparemment tu ne connais pas java."

Si justement. C'est bien pour ça que Java n'a rien à foutre sur nos machines. Que Java fasse ce qu'il a à faire sur les serveurs ( tant que c'est contrôlé) et qu'on laisse à nos machines le soin de faire tourner des apps natives qui ne seront sensibles qu'aux failles du système.

"Pour finir JAVA est le seul language a proposer autant de bibliothèques ce qui permet de réduire les coûts de développement chose non négligeable dans l'économie du web."

C'est bien ce que je disais. Java est utilisé comme langage universel pour s'épargner des coûts de développement. C'est pour ça qu'Open Office est écrit (ou était, peu importe) en Java et pas du tout intégré à Gnome ou au Finder. Je préfère des apps natives que des apps en Java mal intégrées.

mithrandir [21/01/2013 18:53] via MacG Mobile

@joneskind :
C'est vrai pour tous les plugins, que ce soif flash, silverlight, etc.. Ils ont tous des failles de sécurité, mais le navigateur aussi. Et l'OS aussi....

mithrandir [21/01/2013 18:54] via MacG Mobile

@joneskind :
N'importe quoi...

joneskind [21/01/2013 19:05]

mithrandir [21/01/2013 18:53] via MacG Mobile

@joneskind :
C'est vrai pour tous les plugins, que ce soif flash, silverlight, etc.. Ils ont tous des failles de sécurité, mais le navigateur aussi. Et l'OS aussi....

À quel moment j'ai dit le contraire ? Si tu veux avoir des plugins/bibliothèques tierces inutiles qui foutent la sécurité de ton système en l'air, libre à toi. Moi pas. C'est d'ailleurs bien pour ça que je n'ai ni flash ni Java activé dans mon navigateur. La seule dépendance que j'ai à Java c'est dans la CS sur mon ordinateur de bureau, et ça me fait bien chier, parce qu'il est clair qu'Adobe n'en a pas besoin. Et quand je vois le prix de la licence, qu'on ne vienne pas me dire que c'est pour des raisons de coûts de développement. Il y a déjà bien assez de failles dans l'OS pour venir en rajouter, c'est ce que je dis depuis le début.

hadrien.eu [21/01/2013 20:10] via MacG Mobile

Java est obsolète.

fr1man [21/01/2013 20:25] via MacG Mobile

@joneskind :
Mon pauvre ami, tu mélanges tout, tu ne comprends vraiment rien et tu te permets de donner des leçons aux autres, c'est désespérant ...

totorino [21/01/2013 20:40] via iGeneration pour iPad

@joneskind
Ce que tu dis confirme mes dire.
T'y connais rien a java.
Hadrien.eu non plus semble t-il car pour dire que java est obsolète...
Toujours la même rengaine quand ça parle de java sur ce forum.

alucardex [21/01/2013 22:19]

L'important n'est pas de savoir si Java est un bon outil ou non : il l'est, dire le contraire sans savoir est absurde. Cependant, du côté d'Oracle, je ne trouve pas cela très sérieux. Il s'agit d'un outil très utilisé dans beaucoup d'activités professionnelles, et découvrir faille sur faille sur cet outil en devient dramatique. Surtout que depuis qu'Apple à décidé de ce plus s'en occuper cela ne s'est pas arrangé, au contraire. Dans tous les cas, les pro. en bavent, car toutes ces mises à jour foireuses demandent aux développeurs d'app basées sur Java de toujours mettre à jour ou patcher leur travail, jusqu'à la prochaine bourde d'Oracle.. C'est usant.

joneskind [21/01/2013 22:28]

@fr1man [21/01/2013 20:25] via MacG Mobile

Vas-y mec, développe. contredis moi point par point, je t'attends.

@totorino

Toi aussi tiens, puisque t'y es. Java sur nos machines est aussi inutile et obsolète que Flash. On peut parfaitement faire sans. Mais au vu de tes intérêts (t'es développeur, et tu proposes des solutions Java, donc forcément, t'es pas totalement neutre) ta position ne m'étonne pas.

Allez faites moi rire. Personnellement j'ai le temps. Développe un peu la VM tout ça. Comment ça fonctionne dans le navigateur, comment ça fonctionne en local. Franchement j'ai hâte.

Mais attention hein, je veux tout savoir. Détaille moi bien la compilation Bytecode, l'exécution dans la machine virtuelle. J'ai tout mon temps. Explique moi ce que c'est que Excelsior JET et pourquoi ça n'a pas été utilisé par Adobe.

Ce qui m'intéresse surtout de savoir, c'est pourquoi Java est si incontournable sur un Mac alors qu'il est troué de partout. Et j'ai bien dit sur un Mac. J'en ai rien à foutre que tu m'expliques à quoi ça sert sur un serveur, le code qui s'exécute sur une machine distante ne me concerne pas. D'ailleurs c'est pas le sujet. Le sujet c'est l'intérêt de Java sur un ordinateur qui a déjà tout ce qu'il faut pour écrire n'importe quel programme. On verra bien tes arguments.

nogui [21/01/2013 22:29] via iGeneration pour iPad

Mais c'est quand même marrant ça ...
qu'aucun des défenseurs de java n'expose de vrais arguments pour le défendre ..
Ça permettait à tout le monde de se faire une idée au moins ..

Parce que la, à part dire :
"N'importe quoi "
Ou
"Tu n'y connais rien "

Bof ... C'est radin :-)

Trollolol [21/01/2013 22:38]

joneskind

"C'est bien ce que je disais. Java est utilisé comme langage universel pour s'épargner des coûts de développement. C'est pour ça qu'Open Office est écrit (ou était, peu importe) en Java et pas du tout intégré à Gnome ou au Finder."

Donc si Sun, ex proprio de Java, la dév et a coder une bonne partie de ses softs (dont openoffice.org) avec c'tait pour s'épargner des coûts de développement plutôt que pour mettre sa techno en avant ? Tout s'explique.

joneskind [21/01/2013 22:44] via MacG Mobile

@nogui :
'Mais c'est quand même marrant ça ...
qu'aucun des défenseurs de java n'expose de vrais arguments pour le défendre ..
Ça permettait à tout le monde de se faire une idée au moins ..'

Le problème c'est qu'y a autant d'arguments pour défendre Java qu'il n'y en avait pour défendre Flash. C'est des technologies qui ont rendu des services mais qui ont toujours été imparfaites. Et forcément le webdev qui code en Flash il a pas envie qu'on lui dise que Flash c'est mort parce que c'est son gagne-pain. Et les 2 Gus là c'est pareil. Mon cousin est dans la même situation qu'eux. Il connait Java sur le bout des doigts mais rien d'autre. Mais pour lui c'est différent. Il se sert de Java pour administrer/scripter ses serveurs. Pas pour coder des apps. Java est pratique. Rien de plus. Et l'utilisateur (moi donc) se fout pas mal de savoir que le dev a pas galéré pour pondre son App Mac PC et Linux. Il veut un programme sûr pour son ordinateur. Point.

joneskind [21/01/2013 22:55]

@Trollolol [21/01/2013 22:38]

"Donc si Sun, ex proprio de Java, la dév et a coder une bonne partie de ses softs (dont openoffice.org) avec c'tait pour s'épargner des coûts de développement plutôt que pour mettre sa techno en avant ? Tout s'explique."

C'est pas faux. OpenOffice était un mauvais exemple, je dois le reconnaitre. Disons plutôt TuxGuitar alors, si tu préfères.

akitam [21/01/2013 23:12] via MacG Mobile

J'y connais rien a Java, mais a lire les commentaires, quels que soit votre "camp", pro ou anti Java, vous êtes graves ! Vous vous déchirez pour un truc informatique... Vous avez pas plus important à faire de votre énergie et de votre combativité ? Java c'est l'enjeu de l'humanité ou quoi ?

Un vrai combat de coqs autour d'un grain de maïs...

nogui [21/01/2013 23:53] via iGeneration pour iPad

@akitam

"Un vrai combat de coqs autour d'un grain de maïs..."

Haaa Ben je suis pas le seul donc ?
C'est aussi pour ça que tu viens non ? :-)

Comme les vrais combats de coq, beaucoup critiquent mais les mêmes y assistent ..

En tout cas ça devient aussi le gagne pain du site , assurément ..

Les articles sont de plus en plus fait pour déclencher ses fameux combats ?
Et alors ? A part pour certains qui prennent tellement au sérieux leur participation, ce n'est pas grave , c'est anonyme et ça ne met personne dans l'embarras ..
Comme disait une chanteuse qui n'est plus :
Encore des mots, toujours des mots ...les mêmes mots .... Rien que des mots :-)

clasp [22/01/2013 06:36]

@joneskind

"Et l'utilisateur (moi donc) se fout pas mal de savoir que le dev a pas galéré pour pondre son App Mac PC et Linux. Il veut un programme sûr pour son ordinateur. Point."

Et tu crois que parce que c'est en obj-c ou en c++ c'est sûr? Et c'est pas sûr dès que c'est en java? Java est utilisé sur tous les serveurs z notamment dans les banques justement parce que c'est un language très sûre.

hadrien.eu [22/01/2013 07:30] via MacG Mobile

@totorino :
Je maintiens. Java est obsolète. De nos jours quand on veux faire une appli portable, on fait du web. C'est bien plus flexible et moins cher. Mais je comprend que les vieux dev java veuillent s'accrocher a leur gagne pain plutôt que d'apprendre autre chose.

fr1man [22/01/2013 09:29]

Le problème, comme cela a été dit, vient du plugin Java exécuté par le navigateur, et qui est loin d'etre indispensable.
Cela ne remet pas en cause le langage en lui meme et son utilisation autant du coté serveur que du coté client (mais sans navigateur).

joneskind [22/01/2013 13:24] via MacG Mobile

@clasp :
'Et tu crois que parce que c'est en obj-c ou en c++ c'est sûr? Et c'est pas sûr dès que c'est en java? Java est utilisé sur tous les serveurs z notamment dans les banques justement parce que c'est un language très sûre.'

Comme je l'ai dit et répété, chaque système a ses failles. En ajoutant Java à OSX tu ajoute des failles qui n'existaient pas avant. Ce n'est pas Java qui est pire qu'un autre (même si on pourrait en douter) mais le principe d'ajouter des portes d'entrée au système. OSX en tant que machine de bureau n'a pas besoin de Java. Un navigateur n'a pas non plus besoin de Java installé pour faire fonctionner un programme Java qui s'exécute sur un serveur. Je ne dis pas qu'il faut supprimer Java. Je dis qu'il faut supprimer les dépendances à Java sur nos ordinateurs de bureau parce qu'elles n'ont pas lieu d'être. C'est tout à fait différent.

Réagir

Cinq consignes avant de réagir :

Rester dans le cadre de la dépêche. Pour des discussions plus générales, vous pouvez utiliser nos forums.
Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
Pour toute remarque concernant le contenu de l'article, pour nous signaler une erreur, une faute d'orthographe, une omission, merci de nous contacter exclusivement par e-mail.
Relisez-vous, et pour les utilisateurs de Safari profitez de l'aide du navigateur : activez le menu édition > Orthographe > Vérifier l'orthographe lors de la frappe.

SUPERBES IMAC 20" et...	n/d
Macbook Pro 15" Core...	n/d
Macbook Pro...	n/d
SUPERBES IMAC 21,5" et...	n/d
MacBookPro 2012 4core i7...	n/d
Borne AirPort Express	n/d
IPhone 4S, 64Go, noir,...	n/d
IPad 3 eme generation	n/d
Nouvel iPad 32 go Blanc...	n/d
MAC PRO 2010 / 8X2,26Ghz /...	n/d
IPhone 5 16 Go Bon...	n/d
MacBook Air 11"...	n/d
IPad 3 WiFi 64Go +...	500 €
URGENT iMac G5 20 pouces	n/d
Macbook air 13" 1,7ghz...	n/d

Java 7 : encore des failles de sécurité

Réagir

Transmettre à un ami