Java sur Mac se traine des failles depuis six mois

Christophe Laporte |
Voilà plus de six mois que Mac OS X traîne des failles de sécurité relative à la machine virtuelle Java. Ces dernières ont été rendues publiques par Sun début décembre et ont été corrigées depuis belle lurette sur Windows et la plupart des distributions Linux.

Les failles en question permettent à un code malicieux d'échapper au bac à sable (sandbox) et de lancer des commandes avec vos privilèges utilisateur. Un simple applet Java intégré à n'importe quelle page web permettrait à un utilisateur malintentionné d'installer très facilement un malware sur votre Mac.

Agacé par le comportement d'Apple qui est chargé de développer Java sur Mac OS X, Landon Fuller propose au téléchargement une preuve de concept. L'applet en question lancé un processus à l'insu de votre plein gré.



En attendant qu'Apple s'active, il recommande aux utilisateurs de désactiver Java dans Safari ainsi que l'option 'Ouvrir automatiquement les fichiers fiables".
Tags
avatar Moonwalker | 

Effectivement, pas très sérieux...

avatar desertea | 

Ca tombe bien je n'utilise pas Safari !!!

Il bugge sur pleins de sites, les accros diront qu'il fait un super score à ACID !!
Pas de plug'in
Et en plus c'est une passoire !!!

avatar misterbrown | 

MOuais.. ca fait frémir dans les chaumières.

avatar shenmue | 

@Desertea:"Il bugge sur pleins de sites"

Ben j'ai du bol alors...aucun problèmes...
Mais bon, légende urbaine tousssaaaaa...

Sinon quand on voit le nombre REEL d'attaques contre les macs, c'est sûr que c'est pas très sérieux de la part d'Apple mais OSEF quoi...

avatar Moonwalker | 

@desertea : et ton cerveau, tu l'utilises parfois ? Désactive déjà le mode Troll.

Avant de sortir ton tissu d'ânerie sur Safari tu aurais mieux fait d'aller expérimenter le proof of concept.

Ça n'a rien à voir avec le navigateur, c'est Java sur Mac OS X qui est en cause. Tout navigateur utilisant Java est concerné.

Mais bon, chez toi on est pas près de combler la faille béante entre tes deux oreilles.

avatar lol51 | 

desertea > Pas le troll, pas mal.

avatar lol51 | 

Euh.. pour les septiques, la faille est quand même gravissime là..

avatar Kalki | 

Légende urbaine ?

Bah testez donc la preuve de concept...
-1 pour Apple pour ce coup ci...

avatar moitoi | 

Au lieu de débourser quelque dollar dans une pub Get a Mac, ils auraient pu l'utiliser dans la correction de cette faille.

Là, c'est la contre pub de Microsoft qui marque un point !

avatar supersim0n | 

Faut-il seulement désactiver java ou il faut aussi le faire pour javascript et les plugins?

merci

p.s. Je songe à ne pas acheter un mac la prochaine fois. j'ai le goût d'être un utilisateur libéré par kubuntu dans un Acer! :P

avatar imonamac | 

Java et Javascript ca n'a rien a voir du tout.
Java fonctionne avec une machine virtuelle.

avatar sache | 

c'est dangereux on est obligé d'enlever Java? parce pour moi c'est n outils quotidien

avatar pilou83 | 

@ Moonwalker. Pourrais-tu employer un ton un peu moins méprisant ? On se demande pour qui tu te prends pour traiter aussi gratuitement les gens de crétins !!! Un adolescent boutonneux et gâté, qui croit connaître l'anglais, ou un TROLL, un vrai de vrai, payé par Apple ?
Parce que là, franchement, niveau sécurité, ça craint...

avatar LaurentR | 

Une chose que je ne comprend pas : si c'est si flagrant et que c'est là depuis si longtemps comment se fait-il qu'il n'y ait pas eu de problèmes déclarés avant Landon Fuller ? Il n'y a peut-être pas que lui à l'avoir découvert ?

avatar codeX | 

@pilou83. Moonwalker n'a pas tord même si le ton peut déplaire. Quand on a aussi peu de connaissances et/ou compétences sur l'architecture ou la manière dont fonctionne un OS on évite de ramener sa science.

avatar vintz72 | 

Il serait bon que soit Apple change un peu sa vision de Java sur sa plateforme et se sorte les doigts du c... pour proposer des JVM à jour, régulièrement et avec moins de 6 à 12 mois de retard sur les versions de Sun, soit qu'il laisse faire Sun !

Pour rappel, il n'est pas possible d'avoir une JVM 1.6 pour Tiger sans jouer les geeks, par exemple... Ce problème de sécurité n'apporte sûrement pas d'eau au moulin.

avatar Proudhon | 

Peut-être que Christophe Laporte aurait du lire TOUT l'article :
je cite :
[quote]The recent release of OpenJDK6/Mac OS X [b]is not affected[/b] by CVE-2008-5353 [NDR : le code de la vulnérabilité] [/quote]

mais il y a pire : imaginez un bug datant de 2001 qui provoquerait une faille importante dans Macos X server…sauf qu'il ne s'agit pas de Macos X server :
http://blogs.zdnet.com/security/?p=3424

Il faut savoir relativiser…

avatar Bilbo | 

@Proudhon

Peut-être que tu aurais du lire TOUTE la dépêche. En suivant les liens tu serais arrivé là :
http://landonf.bikemonkey.org/static/moab-tests/CVE-2008-5353/hello.html

Si un site permet de faire causer ton mac sans que tu le lui permettes, je te laisse imaginer ce qu'un fâcheux aurait pu faire.

Apple n'assure pas du tout sur ce coup là.

À+

avatar Gl0ubI | 

Pour info et en attendant le correctif de Apple...

Je suis allé sur le site pour tester la vulnérabilité, et rien. Normal en fait j'ai activé Java SE 6 (64bits).

Donc pour ceux qu'il l'ont il suffit de l'activer à la place du J2SE 5.0 (bon d'accord il faut un mac avec une puce intel)

avatar CocoaPower | 

Rien de nouveau. Apple fait n'importe quoi avec Java.
Essayez d'avoir du support sur Java-Cocoa, on vous dira de laisser tomber Java.
Comparez les performances de la JVM de Sun et celle d'Apple, Apple est loin loin derrière.

avatar Psylo | 

OSX ultra secure, sans virus, pas la même merde que winprout, meilleur système au monde blablabla...
Bien la preuve que malgré ses qualités, chaque OS possède ses lacunes et ses faiblesses.
Là c'est quand même une belle boulette, excusez du peu.
Mais je suis sûr qu'un hardcore fanboy (shenmue, couché...) va nous prouver par A+B que it's not a bug, it's a feature, ou que javasaynulsapu.

avatar BeePotato | 

@ CocoaPower : « Rien de nouveau. Apple fait n'importe quoi avec Java. »

En effet.

« Essayez d'avoir du support sur Java-Cocoa, on vous dira de laisser tomber Java. »

Non.
On vous dira de laisser tomber Java *pour faire du Cocoa*. Pas de laisser tomber Java tout court.
Et c'est normal, vu que Cocoa-Java est officiellement abandonné depuis des années (depuis la sortie de Tiger), ce qui d'ailleurs n'est pas une mauvaise chose (trop de travail pour maintenir ce pont pourtant très peu utilisé et qui n'était pas une si bonne idée que ça de toute façon).

avatar John Paris | 

Très mauvais point pour Apple.
(Je vais considérer les publicités Apple sous une autre forme. Juste avec ce fait , on ne peux plus dire qu'ils faisait de l'humoir: Ils sont ARROGANT !)

avatar BeePotato | 

@ Psylo : « Bien la preuve que malgré ses qualités, chaque OS possède ses lacunes et ses faiblesses. »

C'est tout à fait vrai.

Mais ça ne contredit en rien le fait que Mac OS X est, en effet, plutôt bien sécurisé, qu'il est en effet bien moins pourri que Windows (là, je ne parle pas de sécurité, mais de l'ensemble de l'OS) et qu'il est en effet le meilleur système du monde à l'heure actuelle. ;-P

Tout en ayant ses propres lacunes et faiblesses. Ce n'est en rien incompatible.

Pages

CONNEXION UTILISATEUR