|
|
Java : encore une mise à jour critique à appliquer
Guillaume Champeau -
publié le Lundi 04 Février 2013 à 10h24 -
posté dans High-Tech
Oracle a publié en fin de semaine dernière une nouvelle mise à jour de Java, qu'il conseille d'appliquer immédiatement pour se protéger d'une faille critique encore découverte et exploitée dans Java Runtine Environment (JRE).
Oracle n'en finit plus de corriger les failles critiques de sa plateforme Java, plus discréditée que jamais. L'entreprise américaine a publié vendredi dernier une nouvelle mise à jour de Java SE, Java 7 Update 13 (1.7.0_13-b20), en expliquant qu'elle devait sortir le 19 février, mais qu'elle a préféré avancer sa date de sortie parce qu'une des failles corrigées était déjà d'ores et déjà exploitée par des attaques. Cette faille particulièrement critique touche le Java Runtine Environment (JRE) lancé au sein des navigateurs web. La semaine dernière, pour réagir à cette faille, Apple avait décidé de bloquer le plug-in Java JRE dans OS X. "En raison de la menace posée par une attaque réussie, Oracle recommande fortement que les clients appliquent les correctifs de la Mise à Jour Critique dès que possible", insiste l'éditeur, qui précise que "cette mise à jour critique contient 50 nouveaux correctifs de sécurité à travers les produits Java SE". Plus que jamais critiqué pour ses nombreuses failles de sécurité, l'environnement Java sur navigateurs est désormais déconseillé par les plus hautes autorités. Au début du mois, le Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (CERTA), rattaché à la très officielle Agence nationale de la sécurité des systèmes d'information (ANSSI), avait publié un bulletin d'alerte pour recommander de désactiver Java dans les navigateurs web. Oracle avait déjà dû publier des mises à jour de sécurité suites à des failles critiques au mois d'août 2012, et le mois dernier. Selon l'entreprise de sécurité Secunia, la faille corrigée était d'un niveau "extrêmement critique", soit le plus haut degré dans son échelle. La société explique que la vulnérabilité permettait des manipulations de données, expositions d'informations sensibles, élévations de privilèges (accès à des droits en principes réservés), des attaques DoS, et des accès au système, le tout réalisé à distance. Les prochaines mises à jour de Java SE sont prévues le 18 juin 2013, le 15 octobre 2013 et le 14 janvier 2014. A condition qu'Oracle ne soit pas encore une fois contraint d'avancer sa feuille de route... à lire aussi
  Prix indiqués avec livraison
20
Commentaires à propos de «Java : encore une mise à jour critique à appliquer »
zig et puce
(Banni) le 04/02/2013 à 12:03
Toujours marrants les articles sur Numerama :
On signale des failles à un éditeur et il ne les corrige pas : Numerama se gausse. On signale des failles à un éditeur et il les corrige : Numerama se gausse. Pour Numerama, il ne doit y avoir que des logiciels sans faille. D'ailleurs, j'écris ce message sur Numerama en étant officiellement banni. Vous avez dit faille ? 
Que s'est-il passé pour que tu sois banni ?
Tu es quasiment la seul voix discordante sur ce site. Une explication du staff peut-être ? 
regarde ses messages : http://www.numerama....ig-et-puce.html
Et encore, c'est seulement un petit pourcentage.
zig et puce
(Banni) le 04/02/2013 à 22:27
Ah, la suppression des messages, c'est la deuxième fois que vous m'avez banni.
Tu peux dire pourquoi la première fois il y a un mois environ ? Et tu expliques pourquoi toi et Neuro venez vous justifier sur Numeratum alors que vous refusez de le faire au vu et au su des lecteurs de Numerama ? 
étant donné qu'ici banni veut dire qu'on peut encore poster on va en rire plutot
zig et puce
(Banni) le 04/02/2013 à 22:32
Voila mes vacances
 "Une erreur s'est produite" !!! Parce qu'il y a un truc très fort chez Numerama : quand tu es banni du forum, tu ne peux plus rien lire sur le site : ni le magazine, ni le comparateur de prix, ... 
Bah merci oracle. C'était quand même sympa a l'époque de Sun...
Véridique: je viens d'engueuler un pauvre type qui a mis à jour Java sans décocher LA case. Résultat: Ask Toolbar et Ask updater.
Ask, je me délecterai de ton agonie. *met une poupée vaudou dans la machine à viande hachée* 
Oui enfin coté ouèb, ça sert un peu à rien quand même le multi-thread (client et encore plus serveur).
Malheureusement Java rester à ma connaissance la seule solution pour signer un document en ligne via JCA etc. Vivement que l'API WebCrypto soit finalisée, que les développeurs (notamment d'applications bancaires) n'aient plus d'excuse valable pour continuer à utiliser java côté client ! (Côté serveur c'est un peu leur problème, on s'en fout). 
"Oui enfin coté ouèb, ça sert un peu à rien quand même le multi-thread".
Gné ? C'est dans les applications web que le multi-threading sert le plus côté serveur. Ou alors, on parle pas de la même chose...
Et même sans parler coté serveur, va faire coté client du socket en Flash, Silverlight ou Javascript et tu vas comprendre ta douleur. Le Java est la seule plateforme capable de le faire en s'intégrant dans le navigateur (et ca parle meme au JS, tu peux faire des trucs totalement hallucinants avec)
 Et pour ca il faut, devine quoi... des thread !!On peut aussi parler de la crypto, le chiffrement des transmissions de réponse à appels d'offres publics (gouvernement, collectivités locales) est réalisé grace à des applets Java. Idem que pour les Socket, va faire ça en Flash/Silverlight/JS Edit: J'avais lu un peu vite sans voir que tu parlais de crypto, je connaissais pas WebCrypto, c'est interessant. Mais un des avantages de Java c'est aussi le portage facile des classes métiers coté client, alors que si tu fais en JS, tu dois coder deux fois tes concepts. Enfin ça se fait et c'est pas le plus grave, c'est évident que Java s'oriente vers du full serveur, vu comme ils ont drop le Desktop et le web client (Applets) alors que le J2EE devient de plus en plus épatant. [message édité par xwolfi le 04/02/2013 à 22:38
]
Ce que je comprend pas c'est que avant la V7 il n'y avait pas de faille ou alors elle étais pas découverte ou communiqué et depuis que Oracle à racheter SUN on assiste a une escalade dans la découverte des failles...
A votre avis avant la V7 d'oracle les failles été surement là et ceux les découvrant envoyé leur rapport a Sun sans passer par la case presse et que depuis que Oracle est là les gens ce géne pas pour descendre celui qui a voulut tué un soft open source Tous les champs doivent être remplis. Tous les champs doivent être remplis. Tous les champs doivent être remplis. |
A LA UNE
LES + COMMENTÉS
  6 offres à partir de 43 €
Télécharger
total video converter,
pro evolution soccer,
navigateur web pdf,
ssc service utility,
gta,
logiciel alcatel,
libreoffice,
emule island,
Accès rapide :
Graver ou numériser |
Communication |
Encoder ou convertir |
Personnalisation |
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
|
- harcelés par le Java Updater et détestent ça
- allergiques aux toolbars et autres merdes installées par case précochée à l'install de Java
- énervés à l'idée de devoir télécharger un binaire et vérifier son intégrité à chaque fois
http://ninite.com/java/
Téléchargez, exécutez, conservez. Permet d'installer et mettre à jour Java, sans assistant d'install et sans merdouilles. Vous sauvera la vie plus souvent que vous ne le pensez.
Sinon: passer sous GNU/Linux, le gestionnaire de paquets se charge de tout.
Aux développeurs: à chaque fois que vous codez avec Java, je vous torture via poupée vaudou. C'est clair ?