Java 7 : encore des failles de sécurité

Stéphane Moussie |
À peine corrigé, Java fait l'objet de nouvelles et énièmes failles de sécurité. L'entreprise Security Explorations explique sur la liste Full Disclosure qu'elle a pu contourner le sandboxing (bac à sable) de Java 7 Update 11 (1.7.0_11-b21). Les deux vulnérabilités ont été communiquées à Oracle.

Il y a moins de deux semaines, Apple avait désactivé le plug-in Java 7 à la suite d'une grosse faille de sécurité. Oracle avait rapidement sorti une mise à jour pour corriger le problème. Or, la dernière version de Java 7 fait toujours l'objet de failles comme le démontre Security Explorations. Pour désactiver Java dans son navigateur, il faut se rendre dans les préférences de Safari puis l'onglet Sécurité et là, décocher Java. Pour Firefox et Chrome, la procédure est la même.
avatar John McClane | 
Est-ce qu'il faut aussi désactiver JavaScript ou c'est autre chose?
avatar RedMak | 
Non c'est pas la même chose ;) laissez le activé.
avatar pat3 | 
Et sur iOS? Y a-t-il Java et comment faire pour le désactiver si c'est le cas?
avatar joneskind | 
@John McClane : Non c'est bon ça n'a rien à voir ! Sinon, pour en revenir à la News. Dire que la CS d'adobe est toujours dépendante de cette merde, c'est aberrant.
avatar albinoz | 
@joneskind J'attend plus que ca pour viré cette merde definivement :/
avatar misc | 
Par pitié qu'on en finisse, ma banque en ligne (et pire, celle de ma mère) l'utilise
avatar BS0D | 
@John MacLane: non c'est 2 choses différentes, explications ici : http://underurhat.com/tips-tricks/the-difference-between-java-and-javascript/.
avatar oomu | 
@pat3 [21/01/2013 10:53] java n'existe pas dans iOS. iOS est une table rase : aucun greffon tel que java ou flash. - aussi dingue que cela puisse paraitre, il n'y a aucun rapport entre java et javascript. Ni javascript est la version "script" de java, ni ce sont les même concepteurs, ni le même rôle ni même la syntaxe (à part bien sur un vague héritage C).
avatar oomu | 
@misc [21/01/2013 11:04] changez de banque :)
avatar nifex8 | 
J'ai pu désactiver java dans safari mais pour google chrome, firefox et opera impossible de trouver l'option java... Où ce trouve elle ?? Merci
avatar JPTK | 
Dans chrome c'est dans confidentialité > paramètres de contenus
avatar liocec | 
@nifex : "Paramètres", puis en bas "afficher param avancés", puis "paramètres de contenu", tu laisses Javascript, tu descends jusqu'à "désactiver plug-in individuels" et tu désactives "java(TM)" qui va passer en gris.
avatar joneskind | 
@misc : Moi j'utilise Bankin' ou l'App de ma banque. C'est quand même un comble que les banques utilisent un truc aussi faillible. Ça me fait quand même bien marrer. Une petite pensée pour les Andrusers qui eux ne pourront jamais faire sans.
avatar lmouillart | 
Pareil ce plugin est seulement utilisé par ma banque pour certaines fonctionnalités.
avatar eseldorm (non vérifié) | 
@nifex : chrome://plugins/
avatar Trollolol | 
joneskind [21/01/2013 12:02] via MacG Mobile "Une petite pensée pour les Andrusers qui eux ne pourront jamais faire sans. " Et ? En quoi le fait ques les apps android soient en Java pose un soucis ?
avatar nifex8 | 
Ok merci à tous pour votre aide !!
avatar Orus | 
"Pour Firefox et Chrome, la procédure est la même"... C'est totalement faux. Soyez un peu précis, car là on se croirait sur 20 minutes ou Le Parisien. Cela ne fait pas très serieux.
avatar DVP | 
Qu'est ce qu'il faut pas lire... Le problème ca n'est pas java, mais le plugin java des navigateurs, ce qui n'a rien à voir. L'applet utilisé par la banque n'est pas "faillible" (ou si elle l'est ça n'est pas cause de java mais à cause de la façon dont elle a été programmée) Dire qu'il faut changer de banque parce qu'elle utilise une applet java et que c'est donc dangereux, c'est aussi crétin que de dire qu'il faut changer de banque parce que son site internet peut être visité depuis Windows sur lequel il y a plein de virus et de malwares toujours aux aguets pour intercepter vos identifiants et vider votre compte. Attention, je ne dis pas qu'il n'y a pas de problème. Effectivement, avoir une banque qui utilise java oblige à activer le plugin et donc expose l'utilisateur à des problèmes si il vient à visiter un site infecté.
avatar joneskind | 
@DVP [21/01/2013 14:32] "Qu'est ce qu'il faut pas lire... Le problème ca n'est pas java, mais le plugin java des navigateurs, ce qui n'a rien à voir." Le fait est qu'à partir du moment où Java est installé sur ton ordinateur tu as du code Java qui peut s'exécuter. Le problème n'est pas tant la manière dont les pages internet des banques sont codées que le fait que ces sites nécessitent Java. Ce qui implique que tu ouvres la possibilité à d'autres sites malveillants de percer ton système. Pour essayer de faire plus simple. Si une assurance te disais "on veut bien vous assurer mais pour ça vous devez installer des portes sans verrous" tu comprendrais tout de suite où je veux en venir. C'est pas l'assureur qui va venir te cambrioler mais cette exigence facilite le boulot des voleurs. C'est un peu le même cas de figure ici.
avatar joneskind | 
@Trollolol [21/01/2013 12:39] joneskind [21/01/2013 12:02] via MacG Mobile "Une petite pensée pour les Andrusers qui eux ne pourront jamais faire sans. " Et ? En quoi le fait ques les apps android soient en Java pose un soucis ? Ce qui pose souci c'est que Android est exposé aux failles de Java parce que Java est intégré à son noyau. C'est pas les mêmes failles d'accord parce que ce n'est pas le même Java mais ça prouve bien que le système n'est pas sûr. Java sur Android a les autorisations pour exécuter du code. Si Java a une faille c'est l'ensemble du système qui est exposé. Un noyau UNIX pur aurait au moins permis à Android de n'être exposé qu'aux failles du noyau UNIX et pas en plus aux failles Java. C'est la double peine. Ça ne veut pas dire qu'un noyau Unix est à l'abri de toute faille. Juste que ce n'est pas la peine d'en rajouter. Et malheureusement pour toi, Android ne fonctionne pas sans Java.
avatar Goldevil | 
Il y a des failles dans TOUS les systèmes, iOS et Mac OSX compris. La plupart du temps le jailbreak fonctionne grâce à une faille qui permet de prendre la main sur le système pour le modifier à votre convenance.
avatar joneskind | 
@Goldevil : C'est bien vrai. Raison de plus pour ne pas en rajouter en donnant des autorisations à un logiciel comme Java. Si tu veux sécuriser un coffre fort t'ajoutes pas une porte.
avatar totorino | 
Beaucoup ici parlent de Java sans vraiment connaître. Java est incontournable n'en déplaise aux fanboy Macuser de base. Nos client utilisent nos applications Java sur Mac avec bonheur sans aucun problème même en ayant désactivé ce fameux plugin...
avatar joneskind | 
"Java est incontournable n'en déplaise aux fanboy Macuser de base." Pas besoin d'être un fanboy Macuser de base pour se rendre compte que Java est une merde, toutes plateformes confondues. D'ailleurs les gens sérieux que je connais sous Windows ou Linux l'ont tous désactivé. C'est pas parce que tes clients profitent bien de leurs Apps codées en Java (pour que TES devs n'aient pas à se faire chier à coder en natif) que ça fait de Java un bon langage. Java est une faille de sécurité qu'il faut éradiquer. Il n'y a pas que dans le navigateur que Java pose problème. Si tu télécharges une app en apparence inoffensive (elle ne demande pas le mot de passe administrateur) qui utilise Java, une faille de sécurité peut parfaitement permettre à du code malicieux de s'exécuter. Pas la peine de dresser un procès en incompétence, d'autant que tu n'as pas le moindre argument autre que "mes clients sont contents, Java est incontournable".
avatar clasp | 
@joneskind Apparemment tu ne connais pas java. "Si tu télécharges une app en apparence inoffensive (elle ne demande pas le mot de passe administrateur) qui utilise Java, une faille de sécurité peut parfaitement permettre à du code malicieux de s'exécuter." La principale utilisation de JAVA ne sont ni les apps androids ni les applet ni quelconque programme pour utilisateur final, mais des programmes destinés à fonctionner en tâche de fond sur des serveurs. Les principaux avantages sont : La machine virtuelle est séparée des autres processus, si le prgramme plante les autres ne sont pas affectés; le code étant interprété il y a une optimisation pendant l'exécution. Pour finir JAVA est le seul language a proposer autant de bibliothèques ce qui permet de réduire les coûts de développement chose non négligeable dans l'économie du web.
avatar joneskind | 
@joneskind "aparemment tu ne connais pas java." Si justement. C'est bien pour ça que Java n'a rien à foutre sur nos machines. Que Java fasse ce qu'il a à faire sur les serveurs ( tant que c'est contrôlé) et qu'on laisse à nos machines le soin de faire tourner des apps natives qui ne seront sensibles qu'aux failles du système. "Pour finir JAVA est le seul language a proposer autant de bibliothèques ce qui permet de réduire les coûts de développement chose non négligeable dans l'économie du web." C'est bien ce que je disais. Java est utilisé comme langage universel pour s'épargner des coûts de développement. C'est pour ça qu'Open Office est écrit (ou était, peu importe) en Java et pas du tout intégré à Gnome ou au Finder. Je préfère des apps natives que des apps en Java mal intégrées.
avatar Mithrandir | 
@joneskind : C'est vrai pour tous les plugins, que ce soif flash, silverlight, etc.. Ils ont tous des failles de sécurité, mais le navigateur aussi. Et l'OS aussi....
avatar Mithrandir | 
@joneskind : N'importe quoi...
avatar joneskind | 
mithrandir [21/01/2013 18:53] via MacG Mobile @joneskind : C'est vrai pour tous les plugins, que ce soif flash, silverlight, etc.. Ils ont tous des failles de sécurité, mais le navigateur aussi. Et l'OS aussi.... À quel moment j'ai dit le contraire ? Si tu veux avoir des plugins/bibliothèques tierces inutiles qui foutent la sécurité de ton système en l'air, libre à toi. Moi pas. C'est d'ailleurs bien pour ça que je n'ai ni flash ni Java activé dans mon navigateur. La seule dépendance que j'ai à Java c'est dans la CS sur mon ordinateur de bureau, et ça me fait bien chier, parce qu'il est clair qu'Adobe n'en a pas besoin. Et quand je vois le prix de la licence, qu'on ne vienne pas me dire que c'est pour des raisons de coûts de développement. Il y a déjà bien assez de failles dans l'OS pour venir en rajouter, c'est ce que je dis depuis le début.
avatar hadrien.eu | 
Java est obsolète.
avatar fr1man | 
@joneskind : Mon pauvre ami, tu mélanges tout, tu ne comprends vraiment rien et tu te permets de donner des leçons aux autres, c'est désespérant ...
avatar totorino | 
@joneskind Ce que tu dis confirme mes dire. T'y connais rien a java. Hadrien.eu non plus semble t-il car pour dire que java est obsolète... Toujours la même rengaine quand ça parle de java sur ce forum.
avatar alucardex | 
L'important n'est pas de savoir si Java est un bon outil ou non : il l'est, dire le contraire sans savoir est absurde. Cependant, du côté d'Oracle, je ne trouve pas cela très sérieux. Il s'agit d'un outil très utilisé dans beaucoup d'activités professionnelles, et découvrir faille sur faille sur cet outil en devient dramatique. Surtout que depuis qu'Apple à décidé de ce plus s'en occuper cela ne s'est pas arrangé, au contraire. Dans tous les cas, les pro. en bavent, car toutes ces mises à jour foireuses demandent aux développeurs d'app basées sur Java de toujours mettre à jour ou patcher leur travail, jusqu'à la prochaine bourde d'Oracle.. C'est usant.
avatar joneskind | 
@fr1man [21/01/2013 20:25] via MacG Mobile Vas-y mec, développe. contredis moi point par point, je t'attends. @totorino Toi aussi tiens, puisque t'y es. Java sur nos machines est aussi inutile et obsolète que Flash. On peut parfaitement faire sans. Mais au vu de tes intérêts (t'es développeur, et tu proposes des solutions Java, donc forcément, t'es pas totalement neutre) ta position ne m'étonne pas. Allez faites moi rire. Personnellement j'ai le temps. Développe un peu la VM tout ça. Comment ça fonctionne dans le navigateur, comment ça fonctionne en local. Franchement j'ai hâte. Mais attention hein, je veux tout savoir. Détaille moi bien la compilation Bytecode, l'exécution dans la machine virtuelle. J'ai tout mon temps. Explique moi ce que c'est que Excelsior JET et pourquoi ça n'a pas été utilisé par Adobe. Ce qui m'intéresse surtout de savoir, c'est pourquoi Java est si incontournable sur un Mac alors qu'il est troué de partout. Et j'ai bien dit sur un Mac. J'en ai rien à foutre que tu m'expliques à quoi ça sert sur un serveur, le code qui s'exécute sur une machine distante ne me concerne pas. D'ailleurs c'est pas le sujet. Le sujet c'est l'intérêt de Java sur un ordinateur qui a déjà tout ce qu'il faut pour écrire n'importe quel programme. On verra bien tes arguments.
avatar nogui | 
Mais c'est quand même marrant ça ... qu'aucun des défenseurs de java n'expose de vrais arguments pour le défendre .. Ça permettait à tout le monde de se faire une idée au moins .. Parce que la, à part dire : "N'importe quoi " Ou "Tu n'y connais rien " Bof ... C'est radin :-)
avatar Trollolol | 
joneskind "C'est bien ce que je disais. Java est utilisé comme langage universel pour s'épargner des coûts de développement. C'est pour ça qu'Open Office est écrit (ou était, peu importe) en Java et pas du tout intégré à Gnome ou au Finder." Donc si Sun, ex proprio de Java, la dév et a coder une bonne partie de ses softs (dont openoffice.org) avec c'tait pour s'épargner des coûts de développement plutôt que pour mettre sa techno en avant ? Tout s'explique.
avatar joneskind | 
@nogui : 'Mais c'est quand même marrant ça ... qu'aucun des défenseurs de java n'expose de vrais arguments pour le défendre .. Ça permettait à tout le monde de se faire une idée au moins ..' Le problème c'est qu'y a autant d'arguments pour défendre Java qu'il n'y en avait pour défendre Flash. C'est des technologies qui ont rendu des services mais qui ont toujours été imparfaites. Et forcément le webdev qui code en Flash il a pas envie qu'on lui dise que Flash c'est mort parce que c'est son gagne-pain. Et les 2 Gus là c'est pareil. Mon cousin est dans la même situation qu'eux. Il connait Java sur le bout des doigts mais rien d'autre. Mais pour lui c'est différent. Il se sert de Java pour administrer/scripter ses serveurs. Pas pour coder des apps. Java est pratique. Rien de plus. Et l'utilisateur (moi donc) se fout pas mal de savoir que le dev a pas galéré pour pondre son App Mac PC et Linux. Il veut un programme sûr pour son ordinateur. Point.
avatar joneskind | 
@Trollolol [21/01/2013 22:38] "Donc si Sun, ex proprio de Java, la dév et a coder une bonne partie de ses softs (dont openoffice.org) avec c'tait pour s'épargner des coûts de développement plutôt que pour mettre sa techno en avant ? Tout s'explique." C'est pas faux. OpenOffice était un mauvais exemple, je dois le reconnaitre. Disons plutôt TuxGuitar alors, si tu préfères.
avatar akitam | 
J'y connais rien a Java, mais a lire les commentaires, quels que soit votre "camp", pro ou anti Java, vous êtes graves ! Vous vous déchirez pour un truc informatique... Vous avez pas plus important à faire de votre énergie et de votre combativité ? Java c'est l'enjeu de l'humanité ou quoi ? Un vrai combat de coqs autour d'un grain de maïs...
avatar nogui | 
@akitam "Un vrai combat de coqs autour d'un grain de maïs..." Haaa Ben je suis pas le seul donc ? C'est aussi pour ça que tu viens non ? :-) Comme les vrais combats de coq, beaucoup critiquent mais les mêmes y assistent .. En tout cas ça devient aussi le gagne pain du site , assurément .. Les articles sont de plus en plus fait pour déclencher ses fameux combats ? Et alors ? A part pour certains qui prennent tellement au sérieux leur participation, ce n'est pas grave , c'est anonyme et ça ne met personne dans l'embarras .. Comme disait une chanteuse qui n'est plus : Encore des mots, toujours des mots ...les mêmes mots .... Rien que des mots :-)
avatar clasp | 
@joneskind "Et l'utilisateur (moi donc) se fout pas mal de savoir que le dev a pas galéré pour pondre son App Mac PC et Linux. Il veut un programme sûr pour son ordinateur. Point." Et tu crois que parce que c'est en obj-c ou en c++ c'est sûr? Et c'est pas sûr dès que c'est en java? Java est utilisé sur tous les serveurs z notamment dans les banques justement parce que c'est un language très sûre.
avatar hadrien.eu | 
@totorino : Je maintiens. Java est obsolète. De nos jours quand on veux faire une appli portable, on fait du web. C'est bien plus flexible et moins cher. Mais je comprend que les vieux dev java veuillent s'accrocher a leur gagne pain plutôt que d'apprendre autre chose.
avatar fr1man | 
Le problème, comme cela a été dit, vient du plugin Java exécuté par le navigateur, et qui est loin d'etre indispensable. Cela ne remet pas en cause le langage en lui meme et son utilisation autant du coté serveur que du coté client (mais sans navigateur).
avatar joneskind | 
@clasp : 'Et tu crois que parce que c'est en obj-c ou en c++ c'est sûr? Et c'est pas sûr dès que c'est en java? Java est utilisé sur tous les serveurs z notamment dans les banques justement parce que c'est un language très sûre.' Comme je l'ai dit et répété, chaque système a ses failles. En ajoutant Java à OSX tu ajoute des failles qui n'existaient pas avant. Ce n'est pas Java qui est pire qu'un autre (même si on pourrait en douter) mais le principe d'ajouter des portes d'entrée au système. OSX en tant que machine de bureau n'a pas besoin de Java. Un navigateur n'a pas non plus besoin de Java installé pour faire fonctionner un programme Java qui s'exécute sur un serveur. Je ne dis pas qu'il faut supprimer Java. Je dis qu'il faut supprimer les dépendances à Java sur nos ordinateurs de bureau parce qu'elles n'ont pas lieu d'être. C'est tout à fait différent.
avatar joneskind | 
@fr1man : 'Le problème, comme cela a été dit, vient du plugin Java exécuté par le navigateur, et qui est loin d'etre indispensable.' Absolument d'accord avec toi sur ce point.

CONNEXION UTILISATEUR