[Info] Java victime d'une faille géante - alerte mondiale !

[Jango78]

Bonjour,

Les affaires vont mal pour Java, à tel point que le Département américain de la Sécurité Intérieure appelle les internautes à ne plus l'utiliser.

Rien d'étonnant, ce système n'est pas sécurisé.


Oracle Java 7 Security Manager Bypass Vulnerability

Vulnerability Note VU#625617 - Java 7 fails to restrict access to privileged code

L'exploitation d'une erreur non spécifiée peut permettre à un individu malveillant ou à un virus d'exécuter du code malicieux sur l'ordinateur de sa victime à l'ouverture d'une page web piégée.


Vulnérabilité critique non corrigée dans Java (10/01/13)

Quelques explications dans cet article du Monde Informatique:
Alerte sur une faille zero day dans Java


===========

EDIT 11/01 23:00 - Billet posté sur BlogZitNet:

Protection des utilisateurs de Firefox contre la vulnérabilité de Java

===========

Aucun correctif n'est disponible pour le moment car ce défaut de sécurité a été découvert alors qu'il était déjà exploité de façon malveillante (0-day), sous la forme de pages web piégées destinées à infecter à leur insu les ordinateurs des internautes.

Ainsi, en Grande-Bretagne, au Brésil et en Russie, certains bandeaux publicitaires redirigeraient l'utilisateur vers un malware selon Kaspersky.

Etant donné le niveau de gravité, l'info est relayée par les agences de presse AFP et Reuters, ainsi qu'une partie de la presse internationale et diverses publications traitant de sécurité informatique.

@+

[grimpeur]

Bonsoir Jango78,
Merci de l'info pour les utilisateurs de ce programme quand à moi, pas de problème car je ne l''ai jamais utilisé .
Bon week-end
@+ ici ou ailleur

[Jango78]

Bonsoir Grimpeur


Dans les dernières publications, même position en Allemagne... l'Office fédéral pour la sécurité dans les technologies de l'information (BSI) met en garde contre la vulnérabilité dangereuse dans la dernière version de Java.

Dans une analyse d'une attaque, il s'est avéré que la vulnérabilité est déjà utilisée pour répandre l'édition espagnole du cheval de Troie BKA.

BSI empfiehlt Deinstallation von Java


A suivre.

@+

[roballar]

Bonsoir,
Et ceux qui ne lisent que la langue de Shakespeare et pas celle de Goethe ?

[Jango78]

Re,

Mozilla vient également de communiquer sur cette affaire:

Protecting Users Against Java Vulnerability


Un communiqué de Sophos:
Protect against latest Java zero-day vulnerability right now: Mal/JavaJar-B


De son côté, Apple a lancé une mise à jour de désactivation de Java sur les systèmes OS X:
Sécurité : Apple désactive le plug-in Java 7


Donc tout le monde est sur la même ligne pour les consignes... quant à Oracle il reste étrangement silencieux, et vu le raffut planétaire, il y a probablement de quoi envoyer certains responsables devant la justice.

@+

[Ycor]

Merci
Pas vraiement une surprise, Java est une faille de sécurité et l'a quasiment toujours été.
Là, on atteint des sommets.

[Jango78]

Re,

Un haut-parleur d'Oracle s'est simplement fendu d'un maigre communiqué sur les pages Facebook et LinkedIn, ainsi que par mail à différents organes de presse et d'Internet:

• 

  Oracle Java vulnerability.png (13.38 Kio) Vu 2890 fois

Les outils Blackhole Exploit Kit (BHEK) et Cool Exploit Kit (CEK) sont paraît-il à pied d'oeuvre.

Et attention aux attaque de "ransonwares" (malwares empêchant d'accéder à un ordinateur infecté, et exigeant un paiement pour restaurer l'accès à la machine):

Java Zero-Day Exploit In The Wild, Spreading Ransomware


L'article publié sur Kaspersky Securelist avec des illustrations pas jolies, jolies:

Java 0day Mass Exploit Distribution


@+

[Ycor]

Bonjour

Un haut-parleur d'Oracle...

Les méfaits des traducteurs automatiques ! En l'occurence : un porte-parole.

[Jango78]

Salut !



et ça continue... EXP/Java.AL, EXP/Java.AM, EXP/Java.AN, EXP/Java.AO, EXP/CVE-2013-0422.A, EXP/CVE-2013-0422.B, EXP/CVE-2013-0422.C

YAJZE: Yet another Java Zero-Day Exploit (Update)

@+

[mwonex]

Bonjour,

VU: heureusement, les plugins sont automatiquement désactivé ainsi que les modules de IE, chez moi sans que j'ai rien fait/


Rectification, il est bloqué, je le désactive.
Attention, ne pas généraliser:
"After the recent discovery of a zero-day vulnerability in Oracle's Java Web Start plugin Apple and Mozilla are now disabling Java by default until fixes are made available."
Ce n'est pas le cas du 2e PC Windows avec java 7.10, ni sur Firefox ni sous IE9, il faut le faire manuellement.

Apparemment ils ont activé le "Click-to-Play Plugins, Blocklist-Style" selon le lien fourni ci-dessus, mais pas tout le monde n'en a bénéficié.
Et dire que je m'en étais fait un monde de cette mise à jour "difficile", enfin je crois que je va m'en passer de Java, puisque Grimpeur le peut.
Merci de l'info je ne serais pas allé vérifier les plugins sinon..

Une question quand même , faut-il désinstaller les Java (32-64) déjà en place, je les désinstalle?

Cordialement