Publié par Guillaume Champeau, le Lundi 04 Février 2013

Java : encore une mise à jour critique à appliquer

Oracle a publié en fin de semaine dernière une nouvelle mise à jour de Java, qu'il conseille d'appliquer immédiatement pour se protéger d'une faille critique encore découverte et exploitée dans Java Runtine Environment (JRE).

Oracle n'en finit plus de corriger les failles critiques de sa plateforme Java, plus discréditée que jamais. L'entreprise américaine a publié vendredi dernier une nouvelle mise à jour de Java SE, Java 7 Update 13 (1.7.0_13-b20), en expliquant qu'elle devait sortir le 19 février, mais qu'elle a préféré avancer sa date de sortie parce qu'une des failles corrigées était déjà d'ores et déjà exploitée par des attaques. Cette faille particulièrement critique touche le Java Runtine Environment (JRE) lancé au sein des navigateurs web.

La semaine dernière, pour réagir à cette faille, Apple avait décidé de bloquer le plug-in Java JRE dans OS X. 

"En raison de la menace posée par une attaque réussie, Oracle recommande fortement que les clients appliquent les correctifs de la Mise à Jour Critique dès que possible", insiste l'éditeur, qui précise que "cette mise à jour critique contient 50 nouveaux correctifs de sécurité à travers les produits Java SE".

Plus que jamais critiqué pour ses nombreuses failles de sécurité, l'environnement Java sur navigateurs est désormais déconseillé par les plus hautes autorités. Au début du mois, le Centre d'expertise gouvernemental de réponse et de traitement des attaques informatiques (CERTA), rattaché à la très officielle Agence nationale de la sécurité des systèmes d'information (ANSSI), avait publié un bulletin d'alerte pour recommander de désactiver Java dans les navigateurs web. 

Oracle avait déjà dû publier des mises à jour de sécurité suites à des failles critiques au mois d'août 2012, et le mois dernier.

Selon l'entreprise de sécurité Secunia,  la faille corrigée était d'un niveau "extrêmement critique", soit le plus haut degré dans son échelle. La société explique que la vulnérabilité permettait des manipulations de données, expositions d'informations sensibles, élévations de privilèges (accès à des droits en principes réservés), des attaques DoS, et des accès au système, le tout réalisé à distance.

Les prochaines mises à jour de Java SE sont prévues le 18 juin 2013, le 15 octobre 2013 et le 14 janvier 2014. A condition qu'Oracle ne soit pas encore une fois contraint d'avancer sa feuille de route...

Publié par Guillaume Champeau, le 4 Février 2013 à 10h24
 
20
Commentaires à propos de «Java : encore une mise à jour critique à appliquer »
Inscrit le 28/11/2008
3161 messages publiés
Et pour ceux sous Windows qui sont:
- harcelés par le Java Updater et détestent ça
- allergiques aux toolbars et autres merdes installées par case précochée à l'install de Java
- énervés à l'idée de devoir télécharger un binaire et vérifier son intégrité à chaque fois

http://ninite.com/java/

Téléchargez, exécutez, conservez. Permet d'installer et mettre à jour Java, sans assistant d'install et sans merdouilles. Vous sauvera la vie plus souvent que vous ne le pensez.

Sinon: passer sous GNU/Linux, le gestionnaire de paquets se charge de tout.

Aux développeurs: à chaque fois que vous codez avec Java, je vous torture via poupée vaudou. C'est clair ?
Inscrit le 13/08/2010
8328 messages publiés
Encore une màj ultra-mega-critique pour Java !!

Image IPB
Inscrit le 11/03/2009
1708 messages publiés
Jusqu'à la prochaine faille critique la semaine prochaine...
Inscrit le 20/09/2011
5137 messages publiés
Toujours marrants les articles sur Numerama :

On signale des failles à un éditeur et il ne les corrige pas : Numerama se gausse.
On signale des failles à un éditeur et il les corrige : Numerama se gausse.

Pour Numerama, il ne doit y avoir que des logiciels sans faille.

D'ailleurs, j'écris ce message sur Numerama en étant officiellement banni. Vous avez dit faille ?
Inscrit le 03/03/2005
181 messages publiés
Que s'est-il passé pour que tu sois banni ?
Tu es quasiment la seul voix discordante sur ce site.
Une explication du staff peut-être ?
Inscrit le 14/07/2004
7791 messages publiés
flow (Modérateur(rice)) le 04/02/2013 à 16:17
regarde ses messages : http://www.numerama....ig-et-puce.html

Et encore, c'est seulement un petit pourcentage.
Inscrit le 20/09/2011
5137 messages publiés
Ah, la suppression des messages, c'est la deuxième fois que vous m'avez banni.
Tu peux dire pourquoi la première fois il y a un mois environ ?

Et tu expliques pourquoi toi et Neuro venez vous justifier sur Numeratum alors que vous refusez de le faire au vu et au su des lecteurs de Numerama ?
Inscrit le 13/08/2010
8328 messages publiés
Tu es banni, ma puce, ou en vacances ?
Inscrit le 21/02/2006
4303 messages publiés
étant donné qu'ici banni veut dire qu'on peut encore poster on va en rire plutot
Inscrit le 20/09/2011
5137 messages publiés
Voila mes vacances "Une erreur s'est produite" !!!

Image IPB

Parce qu'il y a un truc très fort chez Numerama : quand tu es banni du forum, tu ne peux plus rien lire sur le site : ni le magazine, ni le comparateur de prix, ...
Inscrit le 20/12/2009
220 messages publiés
Je suis totalement d'accord, ça commence un peu à me gonfler d'arriver au boulot le matin et de me faire vanner par les dev Microsoft "alors encore une faille java", alors que EUX personne ne corrige les leurs grrrr

Strop trolling sur Java qu'est pas non plus ULTRA VEROLE DLA MORT QUI TUE
Inscrit le 18/03/2008
816 messages publiés
Bah merci oracle. C'était quand même sympa a l'époque de Sun...
Inscrit le 20/12/2009
220 messages publiés
Oui quand ils étaient tellement dépassé qu'ils faisaient une version tous les 5 ans On n'a toujours pas de réification dans Java à cause de leurs merdes avec la généricité, et ça Oracle l'aurait fait bien dès le début !
Inscrit le 28/11/2008
3161 messages publiés
Véridique: je viens d'engueuler un pauvre type qui a mis à jour Java sans décocher LA case. Résultat: Ask Toolbar et Ask updater.

Ask, je me délecterai de ton agonie.
*met une poupée vaudou dans la machine à viande hachée*
Inscrit le 21/02/2006
4303 messages publiés
ask toolbar ce truc qui s'installe en loucedé 10 mn apres la fin de l'installation de java ha oui il y a quoi de quoi crié
Inscrit le 25/04/2008
536 messages publiés
Oui enfin coté ouèb, ça sert un peu à rien quand même le multi-thread (client et encore plus serveur).
Malheureusement Java rester à ma connaissance la seule solution pour signer un document en ligne via JCA etc.

Vivement que l'API WebCrypto soit finalisée, que les développeurs (notamment d'applications bancaires) n'aient plus d'excuse valable pour continuer à utiliser java côté client ! (Côté serveur c'est un peu leur problème, on s'en fout).
Inscrit le 05/10/2011
2885 messages publiés
"Oui enfin coté ouèb, ça sert un peu à rien quand même le multi-thread".
Gné ? C'est dans les applications web que le multi-threading sert le plus côté serveur. Ou alors, on parle pas de la même chose...
Inscrit le 20/12/2009
220 messages publiés
Et même sans parler coté serveur, va faire coté client du socket en Flash, Silverlight ou Javascript et tu vas comprendre ta douleur. Le Java est la seule plateforme capable de le faire en s'intégrant dans le navigateur (et ca parle meme au JS, tu peux faire des trucs totalement hallucinants avec) Et pour ca il faut, devine quoi... des thread !!

On peut aussi parler de la crypto, le chiffrement des transmissions de réponse à appels d'offres publics (gouvernement, collectivités locales) est réalisé grace à des applets Java. Idem que pour les Socket, va faire ça en Flash/Silverlight/JS

Edit: J'avais lu un peu vite sans voir que tu parlais de crypto, je connaissais pas WebCrypto, c'est interessant. Mais un des avantages de Java c'est aussi le portage facile des classes métiers coté client, alors que si tu fais en JS, tu dois coder deux fois tes concepts. Enfin ça se fait et c'est pas le plus grave, c'est évident que Java s'oriente vers du full serveur, vu comme ils ont drop le Desktop et le web client (Applets) alors que le J2EE devient de plus en plus épatant.
[message édité par xwolfi le 04/02/2013 à 22:38 ]
Inscrit le 20/07/2011
945 messages publiés
Peut être qu'ils devraient demander de l'aide aux développeurs de chez Google
Inscrit le 21/02/2006
4303 messages publiés
Ce que je comprend pas c'est que avant la V7 il n'y avait pas de faille ou alors elle étais pas découverte ou communiqué et depuis que Oracle à racheter SUN on assiste a une escalade dans la découverte des failles...

A votre avis avant la V7 d'oracle les failles été surement là et ceux les découvrant envoyé leur rapport a Sun sans passer par la case presse et que depuis que Oracle est là les gens ce géne pas pour descendre celui qui a voulut tué un soft open source
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Février 2013
 
Lu Ma Me Je Ve Sa Di
28 29 30 31 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 1 2 3
4 5 6 7 8 9 10