Java sur Mac se traine des failles depuis six mois

Christophe Laporte |
Voilà plus de six mois que Mac OS X traîne des failles de sécurité relative à la machine virtuelle Java. Ces dernières ont été rendues publiques par Sun début décembre et ont été corrigées depuis belle lurette sur Windows et la plupart des distributions Linux.

Les failles en question permettent à un code malicieux d'échapper au bac à sable (sandbox) et de lancer des commandes avec vos privilèges utilisateur. Un simple applet Java intégré à n'importe quelle page web permettrait à un utilisateur malintentionné d'installer très facilement un malware sur votre Mac.

Agacé par le comportement d'Apple qui est chargé de développer Java sur Mac OS X, Landon Fuller propose au téléchargement une preuve de concept. L'applet en question lancé un processus à l'insu de votre plein gré.



En attendant qu'Apple s'active, il recommande aux utilisateurs de désactiver Java dans Safari ainsi que l'option 'Ouvrir automatiquement les fichiers fiables".

Tags
avatar Moonwalker | 

Effectivement, pas très sérieux...

avatar desertea | 

Ca tombe bien je n'utilise pas Safari !!!

Il bugge sur pleins de sites, les accros diront qu'il fait un super score à ACID !!
Pas de plug'in
Et en plus c'est une passoire !!!

avatar misterbrown | 

MOuais.. ca fait frémir dans les chaumières.

avatar shenmue | 

@Desertea:"Il bugge sur pleins de sites"

Ben j'ai du bol alors...aucun problèmes...
Mais bon, légende urbaine tousssaaaaa...

Sinon quand on voit le nombre REEL d'attaques contre les macs, c'est sûr que c'est pas très sérieux de la part d'Apple mais OSEF quoi...

avatar Moonwalker | 

@desertea : et ton cerveau, tu l'utilises parfois ? Désactive déjà le mode Troll.

Avant de sortir ton tissu d'ânerie sur Safari tu aurais mieux fait d'aller expérimenter le proof of concept.

Ça n'a rien à voir avec le navigateur, c'est Java sur Mac OS X qui est en cause. Tout navigateur utilisant Java est concerné.

Mais bon, chez toi on est pas près de combler la faille béante entre tes deux oreilles.

avatar lol51 | 

desertea > Pas le troll, pas mal.

avatar lol51 | 

Euh.. pour les septiques, la faille est quand même gravissime là..

avatar Kalki | 

Légende urbaine ?

Bah testez donc la preuve de concept...
-1 pour Apple pour ce coup ci...

avatar moitoi | 

Au lieu de débourser quelque dollar dans une pub Get a Mac, ils auraient pu l'utiliser dans la correction de cette faille.

Là, c'est la contre pub de Microsoft qui marque un point !

avatar supersim0n | 

Faut-il seulement désactiver java ou il faut aussi le faire pour javascript et les plugins?

merci

p.s. Je songe à ne pas acheter un mac la prochaine fois. j'ai le goût d'être un utilisateur libéré par kubuntu dans un Acer! :P

avatar imonamac | 

Java et Javascript ca n'a rien a voir du tout.
Java fonctionne avec une machine virtuelle.

avatar sache | 

c'est dangereux on est obligé d'enlever Java? parce pour moi c'est n outils quotidien

avatar pilou83 | 

@ Moonwalker. Pourrais-tu employer un ton un peu moins méprisant ? On se demande pour qui tu te prends pour traiter aussi gratuitement les gens de crétins !!! Un adolescent boutonneux et gâté, qui croit connaître l'anglais, ou un TROLL, un vrai de vrai, payé par Apple ?
Parce que là, franchement, niveau sécurité, ça craint...

avatar LaurentR | 

Une chose que je ne comprend pas : si c'est si flagrant et que c'est là depuis si longtemps comment se fait-il qu'il n'y ait pas eu de problèmes déclarés avant Landon Fuller ? Il n'y a peut-être pas que lui à l'avoir découvert ?

avatar codeX | 

@pilou83. Moonwalker n'a pas tord même si le ton peut déplaire. Quand on a aussi peu de connaissances et/ou compétences sur l'architecture ou la manière dont fonctionne un OS on évite de ramener sa science.

avatar vintz72 | 

Il serait bon que soit Apple change un peu sa vision de Java sur sa plateforme et se sorte les doigts du c... pour proposer des JVM à jour, régulièrement et avec moins de 6 à 12 mois de retard sur les versions de Sun, soit qu'il laisse faire Sun !

Pour rappel, il n'est pas possible d'avoir une JVM 1.6 pour Tiger sans jouer les geeks, par exemple... Ce problème de sécurité n'apporte sûrement pas d'eau au moulin.

avatar Proudhon | 

Peut-être que Christophe Laporte aurait du lire TOUT l'article :
je cite :
[quote]The recent release of OpenJDK6/Mac OS X [b]is not affected[/b] by CVE-2008-5353 [NDR : le code de la vulnérabilité] [/quote]

mais il y a pire : imaginez un bug datant de 2001 qui provoquerait une faille importante dans Macos X server…sauf qu'il ne s'agit pas de Macos X server :
http://blogs.zdnet.com/security/?p=3424

Il faut savoir relativiser…

avatar Bilbo | 

@Proudhon

Peut-être que tu aurais du lire TOUTE la dépêche. En suivant les liens tu serais arrivé là :
http://landonf.bikemonkey.org/static/moab-tests/CVE-2008-5353/hello.html

Si un site permet de faire causer ton mac sans que tu le lui permettes, je te laisse imaginer ce qu'un fâcheux aurait pu faire.

Apple n'assure pas du tout sur ce coup là.

À+

avatar Gl0ubI | 

Pour info et en attendant le correctif de Apple...

Je suis allé sur le site pour tester la vulnérabilité, et rien. Normal en fait j'ai activé Java SE 6 (64bits).

Donc pour ceux qu'il l'ont il suffit de l'activer à la place du J2SE 5.0 (bon d'accord il faut un mac avec une puce intel)

avatar CocoaPower | 

Rien de nouveau. Apple fait n'importe quoi avec Java.
Essayez d'avoir du support sur Java-Cocoa, on vous dira de laisser tomber Java.
Comparez les performances de la JVM de Sun et celle d'Apple, Apple est loin loin derrière.

avatar Psylo | 

OSX ultra secure, sans virus, pas la même merde que winprout, meilleur système au monde blablabla...
Bien la preuve que malgré ses qualités, chaque OS possède ses lacunes et ses faiblesses.
Là c'est quand même une belle boulette, excusez du peu.
Mais je suis sûr qu'un hardcore fanboy (shenmue, couché...) va nous prouver par A+B que it's not a bug, it's a feature, ou que javasaynulsapu.

avatar BeePotato | 

@ CocoaPower : « Rien de nouveau. Apple fait n'importe quoi avec Java. »

En effet.

« Essayez d'avoir du support sur Java-Cocoa, on vous dira de laisser tomber Java. »

Non.
On vous dira de laisser tomber Java *pour faire du Cocoa*. Pas de laisser tomber Java tout court.
Et c'est normal, vu que Cocoa-Java est officiellement abandonné depuis des années (depuis la sortie de Tiger), ce qui d'ailleurs n'est pas une mauvaise chose (trop de travail pour maintenir ce pont pourtant très peu utilisé et qui n'était pas une si bonne idée que ça de toute façon).

avatar John Paris | 

Très mauvais point pour Apple.
(Je vais considérer les publicités Apple sous une autre forme. Juste avec ce fait , on ne peux plus dire qu'ils faisait de l'humoir: Ils sont ARROGANT !)

avatar BeePotato | 

@ Psylo : « Bien la preuve que malgré ses qualités, chaque OS possède ses lacunes et ses faiblesses. »

C'est tout à fait vrai.

Mais ça ne contredit en rien le fait que Mac OS X est, en effet, plutôt bien sécurisé, qu'il est en effet bien moins pourri que Windows (là, je ne parle pas de sécurité, mais de l'ensemble de l'OS) et qu'il est en effet le meilleur système du monde à l'heure actuelle. ;-P

Tout en ayant ses propres lacunes et faiblesses. Ce n'est en rien incompatible.

avatar lukasmars | 

Mauvais point pour Apple .
En matiére de correctifs de securité , ils sont toujours les plus longs à fournir des patchs.
J'ai toujours entendu que la célérité, c'etait ce qui differenciais les bon et mauvais éditeurs.
Ils nous avaient fait le coup avec Bind en mettant 24 jours a corriger la faille et c'est repartit avec java ...Là le probleme dure depuis 6 mois ... une paille quoi .

avatar tfoth | 

Apple n'a simplement aucune politique de sécurité, surtout comparé à Microsoft, qui est très actif en la matière. Mais le système d'Apple reste plus sûr de par sa base Unix, et sa conception récente, avec la remise à plat par rapport au System9 . De son côté, Windows se traîne des failles "conceptuelles" depuis Win95, et ne peut les corriger sans remettre en question tout ce qui est compatibilité avec les systèmes précédents, et du coup doit accumuler les rustines. Ce qui fait que même en portant plus d'attention à la sécurité, Windows est moins sûr que OS X. Lui-même très en retrait comparé à un Unix sérieux, bien sûr.

avatar CocoaPower | 

@BeePotato

Tu as raisons sur la forme, mais la réponse que j'ai eu est plutôt: "vous pouvez faire du Java, mais ça ne sera pas intégré au Mac et ça pue". Ce que je traduit par: "ne faite pas de java" ;)

avatar vonjos | 

"@ShowMeHowToLive [20/05/2009 09:25]

Mouais, Java y'a bien longtemps que je ne l'ai plus vu sur un site mais c'est vrai qu'Apple l'a totalement délaissé."

Apple se fout de JAVA c'est sûr, mais il y a plein de sites professionnels qui utilisent cette techno qui est justement cross-plate-forme (son intérêt à la base). Il y a aussi des serveurs d'autorisations ou des petits applets pour uploader/controler des trucs en ligne par exemple. Un applet java se charge souvent sans informer son utilisateur.
Parfois le même type de contrôle effectué sur le serveur central est exécuté via un applet JAVA directement sur une page web.

C'est une techno du début des années 2000 certes mais encore beaucoup utilisée dans le monde professionnel qui peut ainsi réutiliser du code existant (réalisé par des équipes qui n'existent plus).
Par exemple Logmein (l'outil d'accès à distance) la version java fonctionne mieux que la version mac native qui est encore en qwerty.
C'est surtout grâce à JAVA qu'on a vu des sites de + en + compatibles mac au début et puis ils ont été remplacés petit à petit par d'autres technos.
Mais ce que je trouve bizarre c'est la non utilisation de cette faille par des pirates alors qu'elle est là depuis 6 mois. En plus java fait partie des langages qu'on apprend à les écoles informatiques, donc tous les petits "boutonneux" auraient pu s'essayer ... A croire que ce n'est pas si simple.

avatar divoli | 

Ce n'est pas nouveau; Apple met souvent un temps fou pour proposer des correctifs liés à la sécurité. Apple a déjà de nombreuses fois été pointée du doigt pour cela. Mais là c'est le pompon.

Perso, je trouve que c'est inadmissible; c'est non seulement un manque de respect flagrant pour le développeur en question, mais également un manque de respect pour l'utilisateur qui paye un saladier pour pouvoir utiliser OS X.

Et le fait que Windows soit plus "attaqué" n'excuse en rien l'attitude d'Apple, pas la peine d'essayer de noyer le poisson.

avatar davi18 | 

Je ne comprends pas pourquoi Apple ne laisse pas Sun s'occuper de Java pour Mac OS X ?

avatar BeePotato | 

@ CocoaPower : « Tu as raisons sur la forme, mais la réponse que j'ai eu est plutôt: "vous pouvez faire du Java, mais ça ne sera pas intégré au Mac et ça pue". Ce que je traduit par: "ne faite pas de java" ;) »

Et bien c'est une mauvaise traduction.
C'est juste un rappel que, depuis l'arrêt du support de Cocoa-Java, il n'y a plus de solution pour faire du développement pour Mac en Java, puisqu'il n'y a plus d'accès aux API de Mac OS pour Java. Le développement en Java se limite donc à l'utilisation d'autres bibliothèques, comme Swing. Ce qui donne soit des applications qui n'ont rien d'applications Mac (dans la plupart des cas), soit des applications pour lesquelles il a fallu faire beaucoup d'efforts pour qu'elles arrivent à ressembler à peu près à des applis Mac (dans de rares cas).

Donc la bonne traduction du message, c'est : « Vous pouvez bien faire du Java si vous voulez, mais ce sera pour faire des applis pour une plateforme différente, pas de vraies applis pour Mac, donc ne cherchez pas ensuite à vendre vos applis comme des applis Mac. Et si vous voulez au contraire développer des applis Mac, laissez tomber Java, ce n'est pas adapté. »

Bref, Apple ne décourage pas l'usage de Java en soi, juste l'usage de Java pour faire du développement spécifique au Mac.

avatar CocoaPower | 

@BeePotato

Tu as tout à fait raison. Je me situais plus dans un contexte d'application commerciale.
C'est vrai que rien n'empêche de faire des petits programmes Java sur Mac, tant que les performances ne sont pas nécessaire.

avatar poco | 

"Gl0ubI [20/05/2009 10:13]

Donc pour ceux qu'il l'ont il suffit de l'activer à la place du J2SE 5.0 (bon d'accord il faut un mac avec une puce intel)"

Comment tu fais çà?

Merci par avance

avatar CocoaPower | 

@poco:

Applications>Java>Java preferences

Mais contrairement à ce que dit Gl0ubI, la faille est bien dans le "Java SE 6" de Apple (reproduit ici sur 10.5.7).

La version sans faille c'est la version Open-source: OpenJDK6: http://openjdk.java.net/

avatar poco | 

@ CocoaPower

"La version sans faille c'est la version Open-source: OpenJDK6: http://openjdk.java.net/"

Merci pour l'info, mais peut-on l'installer sur OS X?

avatar CocoaPower | 

@poco

Le port BSD fonctionne sur Mac. Il est d'ailleurs beaucoup plus rapide que la version d'Apple.

Par contre faut tout compiler à la main, je te ne le conseille que si tu es programmeur Java.

avatar banane pourrie | 

Citation du Petit Robert:

malicieux, ieuse [malisjø, jøz] adjectif
étym. milieu XIIe ◊ latin malitiosus « méchant »
Famille étymologique ð mal
v

■ Qui a de la malice.
1 Vx. mauvais, méchant.
2 (1690) Mod. Qui s'amuse, rit volontiers aux dépens d'autrui. è coquin, espiègle, farceur, malin, moqueur, railleur, taquin. Enfant malicieux. Avoir un esprit vif et malicieux.
▫ Par ext. Œil, regard, rire, sourire malicieux. è narquois. Réflexion, réponse malicieuse. 1. piquant.
v

■ contraires : 1. Bon, candide. 1. Naïf, niais.

avatar banane pourrie | 

Citation du Robert & Collins:

malicious
1 adjective
person méchant
talk, rumour, attack, phone call malveillant
smile mauvais
malicious gossip : médisances fpl
with malicious intent : avec l'intention de nuire
2 compounds
malicious falsehood noun Law : diffamation f
malicious wounding noun Law : » coups mpl et blessures fpl volontaires

malicieux means `mischievous', not malicious.

avatar banane pourrie | 

Pour être clair: si vous pouviez utiliser une traduction valide de 'malicious', qui se traduit en français par 'malveillant' (et à moins que vous insistiez pour utiliser une acception moyenâgeuse du terme 'malicieux'), ça ne rendrait MacGénération que meilleur. À bon entendeur...

avatar Claude Pelletier | 

@ LOL51

www.retourneaucm1.com/index.php?2005/11/16/43-vous-etes-sceptiques-sur -l-orthographe-de-septique - 31k -

Faille septique !
Fosse septique !
mais
Réaction sceptique !

avatar bertol65 | 

Questions d'un non connaisseur : ça sert à quoi exactement Java ?
Si je le désactive il se passe quoi ?

avatar CocoaPower | 

@bertol65

Java est un langage de programmation et une platforme pour faire fonctionner des applications.
Si tu le désactives dans Firefox/Safari, il y a peu de chance que tu voies la différence car Java est de plus en plus rare sur le net.

(À ne pas confondre avec Javascript, pour lequel tu verras la différence si tu le désactive)

avatar poco | 

@ CocoaPower

Merci, mais je ne suis pas programmeur Java, loin s'en faut. Je vais désactiver donc en attendant.

Question : Quel est le lien entre Javascript et Java? Y-a-t-il des fondations communes? L'un utilise-t-il l'autre pour tourner?

avatar CocoaPower | 

[quote]Question : Quel est le lien entre Javascript et Java? Y-a-t-il des fondations communes? L'un utilise-t-il l'autre pour tourner?[/quote]

En gros il n'y a aucun lien entre les deux. Netscape (le créateur de Javascript) à utilisé le nom pour profiter de la popularité de Java (Sun(le créateur de Java) et Netscape étant partenaire sur ce coup là).

Si on prend le code lui même, les deux languages se ressemble un petit peu car la syntaxe est similaire. Mais concrètement les modèles de programmations sont très différents, et on ne travaille pas de la même façon avec les deux.

Tu entendras beaucoup plus parler de Javascript que de Java à cause du Web. Javascript est le seul language de programmation utilisable par un site web pour exécuter du code dans le navigateur.

avatar passante | 

Sous Firefox 3.0.10, j'ai bien désactivé Java mais je ne trouve pas une mention similaire à Safari pour désactiver l'option "Ouvrir automatiquement les fichiers fiables".

Merci pour vos lumières

avatar marctiger | 

Non rien... erreur. ;-)

CONNEXION UTILISATEUR