Sécurité : Apple désactive le plug-in Java 7

Christophe Laporte |

Une grosse faille relative au plug-in de Java a été découverte très récemment. Très dangereuse, elle est d'ores et déjà exploitée de manière massive par des personnes malintentionnées. Certains "crimewares" ont d'ores et déjà été mis à jour pour en tirer parti.



Une fois n'est pas coutume, Apple a fait preuve de réactivité alors qu'elle n'est pas directement concernée, puisque c'est Oracle qui développe et assure la maintenance de cette version.





Pour que ses utilisateurs ne soient pas la cible de cette faille, Apple a mis à jour son fichier Xprotect.plist. Ce dernier comporte désormais une entrée permettant de désactiver le module Java d'Oracle.



Désormais, il faut impérativement la version 1.7.0_10-b19 de ce module afin d'utiliser Java avec Safari (lequel n'est pas encore disponible). Apple utilise déjà un stratagème similaire avec Flash afin de s'assurer que ses utilisateurs n'aient pas recours à de versions trop anciennes.



Pour en revenir à Java, il semble que cela soit l'affaire de trop pour certains. Ces derniers mois, Java a été touché par plusieurs grosses failles de sécurité. L'une d'elles d'ailleurs avait abouti - à cause de la lenteur d'Apple à réagir - à la plus grosse affaire de sécurité depuis les débuts de Mac OS X avec Flashback (lire : Interview : Flashback et la mécanique d'un malware). Bref, si vous n'utilisez pas Java avec votre navigateur, mieux vaut peut-être désinstaller ce plug-in.

Tags
avatar florian1003 (non vérifié) | 
Apple est réactif sur le coup !
avatar Funigtor | 
Moi, j'ai Java que pour Minecraft... Et encore, sur mon Ubuntu j'ai OpenJDK...
avatar Djipsy5 | 
Chez Apple, on se sent en protection ! Craig déchire !!!
avatar Anonyme (non vérifié) | 
Java ira faire la java ailleurs , je l'ai desinstallé de mon MacBook .
avatar villeroy | 
C'est celui ci le plugin java ?? JavaAppletPlugin Merci.
avatar pixelmaniac | 
@gooplesoft : C'est la java bleue, la java la plus belle, celle qui ensorcelle et que l'on danse les yeux dans les yeux...
avatar claudde | 
bon, c'est où, c'est quoi, c'est comment qu'on fait...
avatar PowerGif88 | 
bonsoir comment le désactiver ?
avatar Anonyme (non vérifié) | 
Mais comment sait-on si on utilise Java ? Et comment désinstalle-t-on le plug-in ?
avatar Anonyme (non vérifié) | 
Pour savoir si il est installer tu vas dans "préférence système " et tu regardes en bas dans "autres" si il est affiché . Et pour le supprimer : Finder --> Macintosh HD --> bibliothèque ---> ( ou barre de recherche ) --> internet plugin --> javaApplerPlugin --> corbeille . J'ai fait comme ça moi .
avatar P'tit Suisse | 
Le Plug-in EST désactivé à la première connection Internet. Supprimer Java nécessite, à ma connaissance, l'usage du Terminal : http://www.java.com/en/download/help/mac_uninstall_java.xml http://stikine.wordpress.com/2012/03/02/howto-remove-java/ Cela dit, Java est utilisé par de nombreuses plateformes commerciales. Il paraît même que certains parviennent à remplir leurs impôts avec à Lausanne.
avatar Domsou | 
L«'une d'elles d'ailleurs avait abouti - à cause de la lenteur d'Apple à réagir - à la plus grosse affaire de sécurité depuis les débuts de Mac OS X avec Flashback (lire : Interview : Flashback et la mécanique d'un malware).» Mr Laporte, décidément vous ne pouvez pas vous empêcher d'envoyer. La plus grosse affaire de sécurité : un malware. Comme quoi il ne fallait pas – trop – s'affoler.
avatar Domsou | 
@Domsou : Je disais : vous ne pouvez vous empêcher d'envoyer des piques. Mais la perle reste celle des numéros de version de Safari, hier.
avatar albinoz | 
Quand je pense que j'ai java que pour la suite creative, Adobe devrait retiré java :/
avatar nayals | 
Ce serait bien de préciser que Java 1.7.0_10-b19 n'est toujours pas disponible...
avatar liocec | 
" si vous n'utilisez pas Java avec votre navigateur, mieux vaut peut-être désinstaller ce plug-in " Donc plus de banque, plus de filtrage actif sur les sites de commerce, les fournisseurs de composants et en résumé 80 à 90 des sites que j'utilise inutilisables... java est parfois bien utile, un peu comme flash !
avatar Nicodu18 | 
@ nayals + 1 !
avatar elise | 
@pixelmaniac Mdr
avatar elise | 
Je n ai jamais vraiment compris à quoi servait JAVA sur mon PC qui d ailleurs me propose une mise à jour depuis 2 mois ou plus, que je n ai jamais osé faire à cause des failles.
avatar elise | 
Je sais qu il est tard mais est ce que quelqu un peut me préciser s il faut mettre à jour ou non sur mon pc windows
avatar joneskind | 
@albinoz : Rhaaa moi aussi ! Je me disais bien que je l'avais installé pour une "bonne" raison... Fait chier, je ne peux vraiment pas me passer de la CS moi merde ! Est-ce qu'il est possible de juste désactiver Java dans le navigateur ou pas ? Et quand est-ce que ces feignasses de chez Adobe vont se décider à faire une version de CS qui soit totalement écrite avec Cocoa ? C'est quand même incroyable, ça fait 10 ans que ça devrait être fait ! Si Apple pouvait dégager Java, ce vieux nid à failles, comme elle l'a fait pour Flash !
avatar joneskind | 
Pour ceux que ça intéresse: http://support.apple.com/kb/HT5241?viewlocale=fr_FR&locale=fr_FR Ça a l'air sérieux. Apple donne même un lien pour désactiver Java sur Chrome et Firefox. Pour moi c'est fait!
avatar oomu | 
"Donc plus de banque, plus de filtrage actif sur les sites de commerce, les fournisseurs de composants et en résumé 80 à 90 des sites que j'utilise inutilisables... java est parfois bien utile, un peu comme flash ! " changer de banque. Sérieusement, Java a toujours été un risque et un problème en tant que plugin pour navigateur web. Java pour le web n'est Pas utile. Quand au plugin Flash, ses jours sont comptés et encore une fois pour de solides et bonnes raisons maintes fois répétées. Globalement, tout ce qui est plugin finira par être expurgé. Vous utilisez encore un plugin VRML ?
avatar AirForceTwo | 
@liocec : 'Donc plus de banque, plus de filtrage actif sur les sites de commerce, les fournisseurs de composants et en résumé 80 à 90 des sites que j'utilise inutilisables... java est parfois bien utile, un peu comme flash !' Il y a encore des banques qui utilisent Java sur leur site ? Jamais vu java sur un site de commerce,,,
avatar Terrehapax | 
Sur le site de Java (java.com/fr/download/help/disable_browser.xml), il y a une note intitulée : "Comment désactiver Java dans un navigateur Web".
avatar zweicoca | 
Par contre pour ceux (comme moi) qui utilisent le très bon site pro de stockage, partage, etc. de photos DarQroom impossible de se passer de Java pour publier mes Go de photos ... Alors oui je serais prêt à désinstaller Java mais je ne peux pas, donc arrêter de dire que c'est inutile blablablabla. Pour vous peut-être mais pas forcément pour tout le monde. Donc ce serait vraiment bien que la version 1.7.0_10-b19 sorte ...
avatar Anonyme (non vérifié) | 
J'y connais pas grand chose en java... Juste, en lisant les commentaires, j'ai l'impression que tout le monde dit que java ne sert pas à grand chose. Mais je crois bien qu'on a besoin de java pour voir les videos de YouTube. En tout cas, quand je le désactive, je ne peux plus voir les vids. En plus, on en a besoin pour lire ce forum. Enfin, sauf si vous voulez juste lire les commentaires des premières pages. Mais si vous voulez lire les commentaires des pages 2, 3... y a besoin de java pour cliquer sur "2". Donc à priori, quasiment tout le monde ici utilise java. Pas juste pour les banques ou les trucs spéciaux. Et tout ceux qui utilise youtube. Après, si le risque est vraiment grand, ca vaut peut être le coup de se séparer de youtube... Sinon, si quelqu'un sait comment lire youtube tout en ayant désactivé java, je suis preneur. (on peut cliquer dans "exception" et mettre youtube dedans... mais là c'est pas vraiment désactivé, juste partiellement)
avatar nayals | 
@AnneMN Euh perso, j'ai desactivé Java à l'occasion de la dernière grosse faille il y a 3 ou 4 mois, jamais eu de problème pour lire MacG ou YouTube...
avatar ybart | 
@AnneMN : Non, tu confonds JavaScript et Java qui n'ont rien à voir entre eux hormis leur nom.
avatar Emile Schwarz | 
Ceci n'est pas une volée de bois vert. Cette page (cet article) est typique du travail de journaliste. On donne la nouvelle. Quand au reste, débrouillez-vous, je ne peux rien pour vous. J'ai lu cet article sur www.macrumors.com il y a plusieurs minutes et je me suis dit: "chouette, je vais en savoir plus". Nada, niente, rien ! Désolé.
avatar fredscribe | 
Mon cher Oomu, tu erres, une fois n'est pas coutume : Java EST utile pour le web. Il m'est même indispensable pour accéder à certaines bases de données universitaires (souvent un peu anciennes, mais irremlaçables) et il est impensable pour moi de l'évacuer. Ajoutons que le module Java des Préférences système offre un panneau de configuration qui comprend des options de sécurité...
avatar eTeks | 
Au sujet du commentaire d'AnneMN : pour la première fois, la confusion Java / JavaScript va servir à Java ! Juste retour des choses ! :D Bon en attendant, ce serait bien qu'Oracle s'occupe plus sérieusement des trous de sécurité, parce qu'à force, ça va finir par vraiment ternir l'image de Java.
avatar Anonyme (non vérifié) | 
@ybart, merci pour l'info, effectivement je pensais que c'était pareil. J'ai donc pu désactiver le bon Java (ou plutôt le mauvais...) maintenant. Ca aurait été c** de désactiver javascript pour ne pas avoir youtube... et être tout de même vulnérable.
avatar joneskind | 
@oomu : 'Vous utilisez encore un plugin VRML ?' Ah le VRML... Nostalgie... Un outil d'une écriture enfantine pour faire rentrer de la 3D dans le navigateur. Malheureusement jamais exploité à sa juste valeur. Je me souviens des travaux de Peter Eisenman, Architecte et Mathématicien, qui avait utilisé ce format comme base d'une étude déconstructiviste de l'habitat, justement grâce à sa simplicité d'écriture (un fichier texte avec les coordonnées scalaires des vertex) et de sa capacité à recevoir facilement des opérations matricielles. Tout un programme !
avatar joneskind | 
@fredscribe : Si tu utilises encore des BDD dépendantes de Java, un conseil, convertis-les ! Sinon elles te seront bientôt inaccessibles. En tout cas je trouve inquiétant que nos bases de données (grosso modo des tableaux remplis de caractères de nature variée) ne soient pas converties en un fichier simple à la compatibilité maximum. Si je devais être responsable de données si précieuses, je les convertirai en .txt ! Mon Dieu hérétique me direz-vous ? Je vous répondrai de ne pas confondre les données avec ses outils d'analyse ou ses outils de lecture. D'ailleurs il serai temps de créer un format de données sur le très long terme. C'est un enjeu colossale de l'informatique actuelle.
avatar fredscribe | 
Joneskind : nous sommes bien d'accord. Mais ce n'est pas moi qui gère. Ce sont de grosses machines institutionnelles. Alors pour le long terme, qui sait ce que tout ça va devenir ? Il fallait y penser avant, certes ; mais c'est facile à dire...
avatar aldomoco | 
@elise : 'Je sais qu il est tard mais est ce que quelqu un peut me préciser s il faut mettre à jour ou non sur mon pc windows' AHAHAH ! On est sur MACGÉ ici !
avatar qlb212 | 
"Pour que ses utilisateurs ne soient pas la cible de cette faille, Apple a mis à jour son fichier Xprotect.plist. Ce dernier comporte désormais une entrée permettant de désactiver le module Java d'Oracle. Désormais, il faut impérativement la version 1.7.0_10-b19 de ce module afin d'utiliser Java avec Safari. " Si vous pouviez expliquer à Mr tout-le-monde comment on fait *concrètement* pour se protéger ça serait utile, merci !
avatar utilisateur banni | 
Et comment on fait si un site demande java du coup ? On est coincé ?
avatar liocec | 
@HyperBallad : 'Il y a encore des banques qui utilisent Java sur leur site ? Jamais vu java sur un site de commerce,,,' Désolé, 6h du mat, un œil ouvert et j'ai confondu plugin et script... Le plugin est rarement utilisé et potentiellement dangereux; Javascript est utilisé partout et n'est pas dangereux, et aucun lien entre les deux java truc.

CONNEXION UTILISATEUR