> Tous les forums > Forum Sécurité
 Vulnérabilité critique non corrigée dans JavaSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
tarek13
  Posté le 02/03/2013 @ 19:50 
Aller en bas de la page 
Astucien

Bonsoir

Je ne sais pas si cette nouvelle faille (01/03/13) a été déjà signalée.

"LOGICIEL(S) CONCERNE(S) :
Oracle Java JDK 7 Update 15 et versions antérieures
Oracle Java JRE 7 Update 15 et versions antérieures
Oracle Java JDK 6 Update 41 et versions antérieures
Oracle Java JRE 6 Update 41 et versions antérieures

Aucun correctif n'est disponible pour le moment car ce défaut de sécurité a été découvert alors qu'il était déjà exploité de façon malveillante (0-day), des attaques ciblées ayant conduit à des intrusions dans les réseaux des sociétés Facebook, Apple et Microsoft." Secuser.com

Autres sources: Secuser.com; Krebs on Security; Infosecurity Magazine; 9 to 5 Mac;..

url-3



Modifié par tarek13 le 03/03/2013 12:38
Publicité
Fabdeboli
 Posté le 03/03/2013 à 07:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

tarek13,Merci etla tasse de café renversée.

dalton2
 Posté le 03/03/2013 à 09:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

tarek13
 Posté le 03/03/2013 à 10:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien
dalton2 a écrit :

https://forum.pcastuces.com/sujet.asp?page=-1&f=25&s=65906&REP_ID=4713787

Bonjour

Tu peux expliquer, s'il te plaît, pourquoi ce "renvoi" vers ton post du 26/02/2013?

Pour indiquer les modules bloqués par Mozilla pour Firefox?

tarek13
 Posté le 03/03/2013 à 15:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Re

L'exploit est censément différent de celui utilisé pour attaquer Facebook, Twitter, Apple, et plusieurs autres sociétés le mois dernier.

"Not like other popular Java vulnerabilities in which security manager can be disabled easily, this vulnerability leads to arbitrary memory read and write in JVM process."

"After triggering the vulnerability, exploit is looking for the memory which holds JVM internal data structure like if security manager is enabled or not, and then overwrites the chunk of memory as zero."

FireEye avertit que la vulnérabilité est exploitée pour installer un cheval de Troie d'accès à distance baptisé McRat.

Bien que l'exploit n'est pas très fiable, il a été exploié avec succès.

Il peut à la fois voler des données (y compris les mots de passe) et télécharger des logiciels malveillants.

"Nous avons informé Oracle et continuerons à travailler avec Oracle sur cette découverte in-the-wild» écrit FireEye.

Il n'est pas contesté par Oracle, qui a déjà affecté la référence CVE-2013-1493 à la vulnérabilité.
On ne sait pas si cette vulnérabilité particulière Java vise Windows uniquement ou Linux et Mac OS X, aussi.

Cependant, McRat est un cheval de Troie conçu pour les attaques "in-the-sauvages" ciblant spécifiquement les utilisateurs de Windows.

source

tarek13
 Posté le 04/03/2013 à 23:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

onsoir

Oracle se précipite sur une mise à jour d'urgence pour Java, pour réparer les deux vulnérabilités, y compris celle qui est actuellement exploitée dans des attaques en cours.

Les deux vulnérabilités affectent le composant 2D de Java SE, écrit Eric Maurice, directeur d'assurance Oracle dans un blog.

Les défauts sont relativement faciles à exploiter pour un attaquant, ce qui augmente la probabilité d'attaques plus étendues les ciblant.

Oracle est de plus en plus mis sous pression pour régler les problèmes de sécurité Java.

Un chercheur a publié lundi un avertissement au sujet Java cinq autres vulnérabilités zero-day .

1214218_35546251



Ekalb
 Posté le 05/03/2013 à 07:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

La question à laquelle chacun doit répondre: ai-je réellement besoin de Java sur mon PC?

J'ai un peu l'impression que Java a réussi à convaincre des millions de personnes que son logiciel devait être installé sur leur PC et comme des moutons de Panurge, ils ont suivi sans se poser des questions.

A la limite, on peut l'avoir "au cas où" tout en le désactivant pour les navigateurs. En cas de nécessité et seulement dans ces cas-là, on l'active temporairement.

Les problèmes actuels ont peut-être le mérite de remettre les choses à plat.



Modifié par Ekalb le 05/03/2013 07:27
tarek13
 Posté le 05/03/2013 à 10:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour

Entièrement d'accord.

60 vulnérabilités trouvées dans Java SE depuis Avril 2012!

C'est la troisième mise à jour en moins d'un mois:

Java7u15-->Java7u17 et Java6u41-->java6u43

Oracle avait l'intention d'arrêter les mises à jour pour Java 6 à la fin de Février, mais a apparemment changé de cap pour le moment pour aider les utilisateurs Java 6 face à cette nouvelle crise.

Les risques (connus depuis le 1er Février, trop tard pour être inclus dans le Critical Patch Update qu'il a publié le 19 février) sont évalués par Oracle avec le score le plus élevé 10,0.

"I’ve said it before, but it bears repeating: Java is a corporate product that somehow landed on something like 80 percent of consumer systems. Most end users who have Java on their systems probably don’t need it and can safely remove it (this advice does not scale for users of corporate systems, which may have specific applications that rely on Java). This is a buggy program that seems to produce a reliable stream of zero-day exploit opportunities for malware writers. So, if you don’t need it, junk it." krebsonsecurity

Le patch du 16 avril va tout colmater.

javamess



Modifié par tarek13 le 05/03/2013 10:29
abcinfo
 Posté le 06/03/2013 à 09:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour, j'ai mis à jour manuellement java sur windows 7, par une désinstallation et réinstallation depuis leur site.

Afin d'être bien protégé, j'ai voulu configurer les mises à jour auto.

Par contre je n'ai pas l'onglet mise à jour quand je vais sur java en passant pas le panneau de configuration :(

Je précise que je fais bien ces manip depuis un compte administrateur.

Pouvez-vous m'aider ?



Modifié par abcinfo le 06/03/2013 09:46
Publicité
tarek13
 Posté le 06/03/2013 à 10:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour

Java est-il bien installé?
Pour vérifier que Java est installé et qu'il fonctionne correctement sur votre ordinateur, exécutez cet applet test.

Ekalb
 Posté le 06/03/2013 à 10:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

Pour vérifier que Java est installé et qu'il fonctionne correctement sur votre ordinateur, exécutez cet applet test.

Oui, à condition qu'il soit actif dans le navigateur. Il peut être installé sans être actif et dans ce cas, le test échoue.

abcinfo
 Posté le 06/03/2013 à 10:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour, oui pour ça c'est ok, c'est juste que j'aurai aimé configurer la mise à jour automatique prévue (voir cette page) :

http://www.java.com/fr/download/help/java_update.xml

Moi je n'ai pas l'onglet mise à jour {#}

Ekalb
 Posté le 06/03/2013 à 10:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Bonjour,

L'onglet mise à jour tel quel n'est pas inclus dans le Panneau de configuration de Java pour Java 64 bits.



Modifié par Ekalb le 06/03/2013 10:29
abcinfo
 Posté le 06/03/2013 à 10:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Oui mais là je suis sur java 32 bits, bon enfin c'est pas bien grave, je ferai les mises à jour à la main comme un grand {#}

Ekalb
 Posté le 06/03/2013 à 10:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

Ta configuration indique Windows 7 64 bits.

Si jusched.exe est actif dans tes processus, la mise à jour est active.



Modifié par Ekalb le 06/03/2013 10:47
abcinfo
 Posté le 06/03/2013 à 10:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Oui Win 7 64 bits, est ma config perso.

La le pb se présente au boulot sous win 7 32 bits, (mais ça tu ne pouvais pas le deviner lol !)

Ekalb
 Posté le 06/03/2013 à 10:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maître astucien

As-tu réellement besoin de Java?

Publicité
abcinfo
 Posté le 06/03/2013 à 11:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Réellement non, mais parfois certains site le demande.

Du coup je l'ai et je le maintiens à jour autant que possible.

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
209,99 €Disque dur externe Western Digital Elements Desktop USB 3.0 12 To à 209,99 €
Valable jusqu'au 03 Août

Amazon propose actuellement le disque dur externe Western Digital Elements Desktop USB 3.0 12 To à 209,99 € livré gratuitement. On le trouve ailleurs à partir de 300 €. Ce disque dur dispose d'un grande capacité de stockage (12 To) et d'une connectique USB 3.0 qui vous offrira des transferts rapides. Il est compatible USB 2.0. A l'intérieur, vous trouverez un disque à hélium UltraStar DC HC 520 White (12 To, 5400 tr/min, 256 Mo cache, CMR -> source satdream.tech). Le disque peut être démonté et réutilisé dans un ordinateur, un NAS, etc. Une très bonne affaire


> Voir l'offre
24,99 €Casque audio bluetooth JBL T460BT à 24,99 €
Valable jusqu'au 03 Août

Cdiscount fait une vente flash sur le casque audio sans fil bluetooth JBL T460BT qui passe à 24,99 € livré gratuitement alors qu'on le trouve ailleurs à partir de 49,99 €. Ce casque sans fil bluetooth 4.0 offre une autonomie de 11h, permet de commander sur le casque les appels et la musique et est repliable à plat. Il est rechargeable avec un câble microUSB fourni.


> Voir l'offre
129,99 €Box Android Nvidia Shield TV 2019 8 Go avec télécommande à 129,99 €
Valable jusqu'au 03 Août

Cdiscount fait une belle promotion sur la box Android Nvidia Shield TV 2019 8 Go avec sa télécommande à 129,99 € grâce au code promo 10EUROS. On trouve ailleurs ce pack à partir de 159 €. Compatible FullHD et 4K, vous pourrez utiliser vos applications Android, jouer et regarder des films et des séries en très haute résolution sur votre TV (compatible Kodi, Molotov, Netflix, Disney+, YouTube ...).


> Voir l'offre

Sujets relatifs
Vulnérabilité critique non corrigée dans windows
Vulnérabilité critique non corrigée dans Windows
Vulnérabilité critique non corrigée dans Powerpoin
Vulnérabilité critique non corrigée dans Windows
Vulnérabilité critique non corrigée dans Word
Vulnérabilité critique dans Winamp (corrigée )
Vulnérabilité critique non corrigée dans Windows
Vulnérabilité critique dans Internet Explorer
Vulnérabilité critique dans VLC media player
Faille de sécurité critique dans Java 7 activement
Plus de sujets relatifs à Vulnérabilité critique non corrigée dans Java
 > Tous les forums > Forum Sécurité