> Tous les forums > Forum Sécurité
 Sécurité 0-day : Java à désactiver immédiatement
Ajouter un message à la discussion
Pages : [1] 2 3 4 5 ... Fin
Page 1 sur 6 [Fin]
dalton2
  Posté le 10/01/2013 @ 20:41 
Aller en bas de la page 
Astucien

Publicité
Anonyme
 Posté le 10/01/2013 à 20:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
dalton2
 Posté le 10/01/2013 à 20:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

in french:

Note de vulnérabilité VU # 625617

Java 7 ne parvient pas à restreindre l'accès à du code privilégié

Date de sortie d'origine: 10 janvier 2013 | Dernière révision: 10 janvier 2013

www.kb.cert.org%2Fvuls%2Fid%2F625617" rel="nofollow" target="_blank">Tweet
www.kb.cert.org%2Fvuls%2Fid%2F625617" rel="nofollow" target="_blank">Like Me

Vue d'ensemble

Java 7 Mise à jour 10 et versions antérieures contiennent une vulnérabilité non spécifiée qui peut permettre à un attaquant à distance non authentifié d'exécuter du code arbitraire sur un système vulnérable.

Description

L'Oracle Java Runtime Environment (JRE) 1.7 permet aux utilisateurs d'exécuter des applications Java dans un navigateur ou en tant que programmes autonomes. Oracle a fait le JRE disponible pour plusieurs systèmes d'exploitation.

Le JRE plug-in Java fournit son propre gestionnaire de sécurité . Typiquement, une applet web fonctionne avec un responsable de la sécurité fournie par le navigateur ou un plugin Java Web Start. Document d'Oracle affirme : «Si il ya un gestionnaire de sécurité déjà installé, cette méthode appelle d'abord la méthode checkPermission le gestionnaire de sécurité avec un RuntimePermission (" setSecurityManager ») la permission de vous assurer qu'il est sécuritaire de remplacer le gestionnaire de sécurité existant. Ceci peut résulter en jetant un SecurityException ".

En tirant parti de vulnérabilités non spécifiées concernant Java Management Extensions (JMX) MBean composants, une applet Java non fiables peuvent dégénérer ses privilèges en téléphonant au le setSecurityManager () fonction pour permettre les privilèges, sans exiger la signature de code. Oracle Java 7 mise à jour 10 et versions antérieures sont affectées.

Cette vulnérabilité est attaqué à l'état sauvage, et est signalé à être incorporés dans des kits d'exploits. Le code d'exploitation de cette vulnérabilité est également accessible au public.

Impact

En incitant un utilisateur à visiter un document HTML spécialement conçu, un attaquant distant peut être en mesure d'exécuter du code arbitraire sur un système vulnérable.

Solution

Nous sommes actuellement pas au courant d'une solution pratique à ce problème. S'il vous plaît envisager les solutions suivantes:

Désactiver Java dans les navigateurs Web

A partir de Java 7 Update 10, il est possible de désactiver le contenu Java dans les navigateurs Web via l'applet Java du panneau de commande. S'il vous plaît voir la documentation Java pour plus de détails.

Anonyme
 Posté le 10/01/2013 à 20:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

il y a toujours des failles de sécurité avec java , il y a pas mal de temps que j'ai résolu le problème en le supprimant de mon pc, et depuis jamais aucune application(qui sont très limitées d'ailleurs) ne m'a demandé de l'installer et mon pc ne s'en porte pas plus mal.

@+



Modifié par Anonyme le 10/01/2013 21:02
dalton2
 Posté le 10/01/2013 à 21:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

d"autres se contentent de le désactiver....puis de l'activer au besoin

Anonyme
 Posté le 10/01/2013 à 21:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
dalton2 a écrit :

d"autres se contentent de le désactiver....puis de l'activer au besoin

bonsoir

oui, c'est vrai , mais pourquoi posséder un logiciel qui ne sert à rien( je parle pour moi, et certainement pour pas mal d'internautes) ?

et puis si un jour une application se trouve dépendante de java, on l'installe

@+

ps: surtout que pas mal d'internautes ne se soucient pas de ces informations, lorsqu'on voit sur les logs de désinfection le nombre de personnes qui ne tiennent déjà pas à jour java!!!!!!!!!! alors dans ces conditions, il vaut mieux ne rien avoir du tout qu'un logiciel ouvert à toutes les infections



Modifié par Anonyme le 10/01/2013 21:15
alexp79
 Posté le 10/01/2013 à 22:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

hello

moi aussi j'ai viré java depuis belle lurette, n'en ayant aucune utilité

merci de l'info pour ceux qui l'utilisent encore



Modifié par alexp79 le 10/01/2013 22:16
tarek13
 Posté le 10/01/2013 à 22:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir

Encore une?

Il semble que cette faille a été découverte par un chercheur français ayant pour pseudo Kafeine .

Dans un post sur ​​son blog "Malware n'a pas besoin de Café", "0 day 1.7u10 spotted in the Wild - Disable Java Plugin NOW !", le chercheur a affirmé que la dernière version, Java 7 Update 10, a été exploitée sur un site qui reçoit «des centaines de milliers de visites par jour» et a conclu que «cela pourrait être le chaos ."



Modifié par tarek13 le 10/01/2013 22:51
Ekalb
 Posté le 11/01/2013 à 08:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

oui, c'est vrai , mais pourquoi posséder un logiciel qui ne sert à rien

S'il ne sert à rien c'est évident mais certains en ont besoin (exemple LibreOffice a besoin d'un environnement d'exécution Java (JRE) pour bénéficier de toutes ses fonctions).

Le test en ligne chez Secunia (Secunia Online Software Inspector) ne fonctionne pas sans Java...

Pour désactiver Java dans les navigateurs:

Attention: Ne pas confondre Java et Java Script.



Modifié par Ekalb le 11/01/2013 09:49
Publicité
Anonyme
 Posté le 11/01/2013 à 09:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
Ekalb a écrit :

S'il ne sert à rien c'est évident mais certains en ont besoin (exemple LibreOffice a besoin d'un environnement d'exécution Java (JRE) pour bénéficier de toutes ses fonctions).

Le test en ligne chez Secunia (Secunia Online Software Inspector) ne fonctionne pas sans Java...

Bonjour

Evidemment nous sommes d'accord sur ce point, mais je voudrais connaître ( mais ça serait difficile à savoir) le % d'internautes qui ont java sur leur pc et qui ne leur est d'aucune utilité ? je pense qu'il doit être important. C'est curieux , java possède cette aura autour de lui, pour certains il est l'incarnation même du logiciel indispensable à la marche d'un pc et dont on ne remet jamais en question son utilité!!!!!!!!

@+

Ekalb
 Posté le 11/01/2013 à 09:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Je pense que j'ai fait une erreur dans mon message précédent: le test en ligne de Secunia Online Software Inspector a besoin de Java Script et pas de Java.

J'ai édité et corrigé mon message précédent.

Le Che, pourrais-tu confirmer si tu n'as pas Java, que le test en ligne chez Secunia fonctionne correctement sans Java: http://secunia.com/vulnerability_scanning/online/

D'avance, merci.



Modifié par Ekalb le 11/01/2013 09:38
Anonyme
 Posté le 11/01/2013 à 09:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
Ekalb a écrit :

Je pense que j'ai fait une erreur dans mon message précédent: le test en ligne de Secunia Online Software Inspector a besoin de Java Script et pas de Java.

J'ai édité et corrigé mon message précédent.

Le Che, pourrais-tu confirmer si tu n'as pas Java, que le test en ligne chez Secunia fonctionne correctement sans Java: http://secunia.com/vulnerability_scanning/online/

D'avance, merci.

re

Apparemment non, puisqu'on me demande d'installer des plugins et le scan ne démarre pas



Modifié par Anonyme le 11/01/2013 09:40
traction
 Posté le 11/01/2013 à 09:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

'lut

moi j'utilise no script et comme le dit le che si il le faut j'autorise la page .......

euh non ! c'est pas le che mais dalton ......scusez moi



Modifié par traction le 11/01/2013 09:49
Ekalb
 Posté le 11/01/2013 à 09:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Apparemment non, puisqu'on me demande d'installer des plugins et le scan ne démarre pas.

Merci pour ton essai.

Curieux.

J'ai désactivé Java dans les navigateurs comme je l'ai indiqué dans mon message de 08h39.

Le scan chez Secunai fonctionnait parfaitement.

Je désinstalle Java, le scan ne fonctionne plus.

Alors question: : la désactivation de Java via le panneau de configuration c'est de la frime ou bien faut-il en plus redémarrer le PC? Je vais vérifier si j'avais bien valider la désactivation.

Note: Je corrige à nouveau mon messge de 08h39



Modifié par Ekalb le 11/01/2013 09:51
Ekalb
 Posté le 11/01/2013 à 09:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Je réponds à mon interrogation:

la désactivation de Java via le panneau de configuration c'est de la frime ou bien faut-il en plus redémarrer le PC? Je vais vérifier si j'avais bien valider la désactivation.

J'avais simplement omis de valider la désactivation de Java dans les navigateurs. En validant, plus moyen de faire le scan chez Secunia. Java est bien désactivé dans les navigateurs par cette méthode.



Modifié par Ekalb le 11/01/2013 09:58
Anonyme
 Posté le 11/01/2013 à 09:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
traction a écrit :

'lut

moi j'utilise no script et comme le dit le che si il le faut j'autorise la page .......

salut

Attention justement à la confusion, effectivement, moi aussi j'ai Noscript(javascript) et on me demande l'autorisation pour la page, je la donne, mais on me demande quand même l'ajout de plugin, qui sont les plugins java. Donc pour répondre à la question précise posée par Ekalb, le scan a besoin de java pour démarrer

@+



Modifié par Anonyme le 11/01/2013 09:59
Ekalb
 Posté le 11/01/2013 à 10:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

En désactivant Java dans les navigateurs, on obtient (test chez Java):

Tout est donc OK.



Modifié par Ekalb le 11/01/2013 10:03
Publicité
ionar
 Posté le 11/01/2013 à 14:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucienne

bonjour

perso, je l'ai desinstallé

sophana
 Posté le 11/01/2013 à 21:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonsoir à tous

Suite à un post initié par Le Che (je crois) j'ai désinstallé Java de mes ordis et tout se passe formidablement bien. Mais à quoi sert Java ou qui requiert son installation????

https://forum.pcastuces.com/sujet.asp?f=1&s=188553

baboodu08
 Posté le 11/01/2013 à 22:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir a tous

En étant avec chrome, qui peut me dire la démarche à effectuer pour désactiver java!

Merci par avance pour les réponses !

Bonne soirée !

tarek13
 Posté le 11/01/2013 à 22:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
baboodu08 a écrit :

Bonsoir a tous

En étant avec chrome, qui peut me dire la démarche à effectuer pour désactiver java!

Merci par avance pour les réponses !

Bonne soirée !

Il faut cliquer sur la clé à molette en haut à droite du navigateur, puis sur "Paramètres".

Ensuite, dans les "Paramètres avancés", il faut cliquer sur le bouton "Paramètres de contenu", puis sur "Désactiver les plug-ins" et enfin sur le lien "Désactiver" situé sous "Java".

sophana
 Posté le 11/01/2013 à 22:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

baboodu08: révouninstaller fait ça très bien mais il reste encore des traces dans programes files que tu peux supprimer et si tu sais faire vas voir dans la BdR et supprimes tout ce que tu trouves sur Java

tarek13
 Posté le 11/01/2013 à 22:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Désactiver ou désinstaller Java ?

Anonyme
 Posté le 11/01/2013 à 22:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
sophana a écrit :

baboodu08: révouninstaller fait ça très bien mais il reste encore des traces dans programes files que tu peux supprimer et si tu sais faire vas voir dans la BdR et supprimes tout ce que tu trouves sur Java

Bonsoir

que pensez vous que quelques clés bdr orphelines peuvent faire ? RIEN...

que pensez vous qu'une seule erreur de suppression dans la bdr peut faire ? UNE CATASTROPHE...

Java a une faille Zero day ? OK, pour les personnes censés que l'on est supposé être...on désactive dans le navigateur. Ok pour les radicaux, ils désinstallent.

Mais franchement, aller fouiller dans la bdr c'est....heu...ben, j'ai pas de mots pour qualifier ce conseil

perso > j'ai rien désactiver ni désinstaller.

@+



Modifié par Anonyme le 11/01/2013 22:36
baboodu08
 Posté le 11/01/2013 à 23:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re-bonsoir,

J'aurai une petite question , quels sont les conséquences lors de la désactivation de java lorsque l'on va sur internet?

Et les conséquences si l'on continue à rester avec java?

Merci!

Ekalb
 Posté le 12/01/2013 à 07:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

En étant avec chrome, qui peut me dire la démarche à effectuer pour désactiver java!

Il faut cliquer sur la clé à molette en haut à droite du navigateur, puis sur "Paramètres".

Ensuite, dans les "Paramètres avancés", il faut cliquer sur le bouton "Paramètres de contenu", puis sur "Désactiver les plug-ins" et enfin sur le lien "Désactiver" situé sous "Java".

Mieux vaut faire la désactivation via le panneau de configuration. On y accède à l'interface de Java d'où on peut le désactiver pour tous les navigateurs (voir mon message d'hier à 08:38).



Modifié par Ekalb le 12/01/2013 08:15
Publicité
Pages : [1] 2 3 4 5 ... Fin
Page 1 sur 6 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
89,99 €SSD Crucial MX500 1 To à 89,99 €
Valable jusqu'au 25 Juillet

Amazon propose actuellement le SSD Crucial MX500 1 To à 89,99 € livré. On le trouve ailleurs à partir de 110 €. Ce SSD salué par la critique par son rapport qualité prix imbattable offre des débits de 560 Mo/s en lecture et 510 Mo/s en écriture. Il est garanti 5 ans. Une très bonne affaire.


> Voir l'offre
499,99 €Vélo assistance électrique Xiaomi Mi Smart pliable à 499,99 €
Valable jusqu'au 25 Juillet

Fnac fait une promotion sur le vélo à assistance électrique Xiaomi Mi Smart pliable qui passe à 499,99 € au lieu de 799 €. Ce vélo pliable 16 pouces offre une autonomie de 45 km et une vitesse jusqu'à 25 km/h. 


> Voir l'offre
69,99 €Webcam Logitech HD Pro C920 Refresh à 69,99 €
Valable jusqu'au 25 Juillet

Cdiscount propose actuellement la webcam Logitech HD Pro C920 Refresh à 69,99 € alors qu'on la trouve ailleurs à partir de 90 €. La livraison est gratuite. Cette webcam avec micro intégré permet de faire des appels vidéos et des enregistrements en Full HD 1080p. La mise au point se fait automatiquement sur 20 paliers. 


> Voir l'offre

Sujets relatifs
Oracle propose 147 correctifs de sécurité pour Java, MyS
Java: 40 correctifs de sécurité pour demain !
Faut il désactiver JAVA
JAVA : faille de sécurité
Faille de sécurité critique dans Java 7 activement
Java 7 Update 10: nouvelles fonctions de sécurité
comment desactiver Java !!
avertissement de sécurité...java ??
désactiver le centre de sécurité avec vista
Désactiver les alertes du centre de sécurité windo
Plus de sujets relatifs à Sécurité 0-day : Java à désactiver immédiatement
 > Tous les forums > Forum Sécurité