Une grosse faille dans Java 7

Christophe Laporte |
Une très grosse faille a été découverte dans Java 7. Elle est qualifiée d'extrêmement critique" par le cabinet FireEye et est déjà exploitée par des hackers.

Errata Security précise pour sa part que cette faille touche les utilisateurs sous Mountain Lion qui ont téléchargé la préversion proposée par Oracle à la mi-août (lire : Oracle lance Java SE 7 pour OS X).

Cette faille autorise l’exécution de code arbitraire sur les systèmes vulnérables sans l’intervention de l’utilisateur. Une variante du cheval de troie Poison Ivy est déjà à l'oeuvre. Utilisé dans le cyberespionnage, Poison Ivy permet d'obtenir des informations sur les ordinateurs infectés. Les experts craignent l'arrivée prochaine de preuves de concept qui pourraient donner des idées à d'autres et multiplier les attaques exploitant cette faille.

La bonne nouvelle, pour les utilisateurs Mac, c'est qu'ils ne doivent pas attendre un correctif de la part d'Apple qui a toujours été d'une extrême lenteur à mettre à jour Java dans ce cas de figure, mais d’Oracle. En théorie, l'éditeur prévoyait de sortir un correctif de sécurité le 16 octobre. Il est plus que probable, devant la gravité de la faille, qu'Oracle revoie très rapidement son planning.

En attendant, si vous n’en avez pas besoin, il est tout simplement recommandé de désinstaller Java 1.7.
Tags
avatar Thomas.GdM | 

Petite question naïve: à quoi sert java sur OS X (en très très gros)?

avatar madaniso | 

Lol après flash on veut enlever java. Apple veut sortir ces solutions propriétaires c'est ça !!!

Dans 2/3 ans, à chaque fois qu'on voudra éteindre nos macs, on aura "De nouvelles mises à jour sont disponibles, veuillez ne pas mettre votre ordinateur hors tension" avec une roue multicolore qui tourne, qui toune... Et Windows 9 sera le nouveau système hype.

avatar Nihondjin | 

Donc pour Lion on est safe ? c'est pas marqué "uniquement ML"

edit :en fait comme presque tout le monde j'utilise 1.6

avatar Le_iPodeur | 

Ah ben ça valait le coup de filer les clés à Oracle. Non parce qu'avec la lenteur d'Apple, Java 7 ne serait pas sorti du tout, donc on aurait pas eu la faille.

avatar sveireman | 

Comment fait-on pour connaître la version de Java installée ?

avatar DP4 | 

Ça sert à jdownloader lol

Plus sérieusement, cela sert peu au grand public. Java sert à produire des logiciels pouvant fonctionner sur toutes sortes d'ordinateurs sans les réécrire. Le monde de l'entreprise peut en être friand (gain de temps, d'argent, etc) mais peu nos foyers qui préfèrent des logiciels mieux finis et plus rapides (des désavantages pour les logiciels en Java)

avatar supermoquette | 

@ sveireman

Dans le terminal:

$ java -version
java version "1.6.0_33"
Java(TM) SE Runtime Environment (build 1.6.0_33-b03-424-11M3720)
Java HotSpot(TM) 64-Bit Server VM (build 20.8-b03-424, mixed mode)

avatar DP4 | 

Le panneau Java dans les Préférences Système ?

avatar light1981 | 

J ai un question mais comment faites vous pour supprimer la version et tous ses composants des préférences système.

avatar oomu | 

@Céd [28/08/2012 15:10] via iGeneration pour iPad

"Bah c'est souvent dur de se passer de java, c'est rendu bien plus populaire que Flash. Mais si la faille est dans java, y a-t-il des risques avec les PC?"

non, c'est très facile de se passer de java. très peu d'applications bureautique s'en serve. Je verrais même pas le point de l'installer chez des particuliers

hormis des besoins pro (intranet avec une app web java, besoin de niche TRES précis genre un lecteur VRML ? ) ou carrément de développement de logiciel java enterprise (et là, on est typiquement ingénieur).

-

@Thomas.GdM [28/08/2012 15:13]

"Petite question naïve: à quoi sert java sur OS X (en très très gros)?"

pour un particulier : à rien.

Ca a servi sur les ordinateurs de bureau pour ajouter des fonctionnalités aux navigateurs web, pour éxecuter des logiciels java depuis le web au sein d'une page web. C'était une mauvaise idée dés le premier jour, ça reste toujours une mauvaise idée : les greffons au sein d'un logiciel en première ligne face à internet (la Jungle), c'est DANGEREUX.

-
Java reste ZE technologie sur-puissante et efficace pour construire des applications SERVEURS d'entreprise.

@madaniso [28/08/2012 15:14]

"Lol après flash on veut enlever java. Apple veut sortir ces solutions propriétaires c'est ça !!!"

Apple avait déjà ses propres solutions fin années 90s.

Sinon, Apple utilise aussi un serveur applicatif java (issu de NeXT) pour ses besoins propres, exemple itunes store. Cela se passe du coté des serveurs Apple.

"Dans 2/3 ans, à chaque fois qu'on voudra éteindre nos macs, on aura "De nouvelles mises à jour sont disponibles, veuillez ne pas mettre votre ordinateur hors tension" avec une roue multicolore qui tourne, qui toune... Et Windows 9 sera le nouveau système hype."

1: j'ai déjà lu ça y a 10 ans. Je le relirai dans 10 ans puis 20

2: Windows XP n'était vraiment pas "hype".

3: Windows 9 ne sera que windows 8+1 ou 7+2. Ca n'a rien de "hype".

4: Os X n'est pas "hype".

avatar rocksolide | 

@Thomas.GdM :
Java est un langage de programmation multi plateforme, tout comme le C++. les composants java installés sur Mac OS X permet d'exploiter du code java afin de lancer des programmes par le biais de la JVM.

avatar havox79 | 

Java sert à divers logiciels multiplateforme mais la plupart demande java 1.6 donc ça touchera relativement peu de personnes je pense.
En + par défaut c'est toujours 1.6 qui s'installe sur ML quand un logiciel requiert java.

avatar Wolf | 

Il faudrait expliquer au gens le sens du mot Prè-version ...

avatar simnico971 | 

@oomu :
" "Petite question naïve: à quoi sert java sur OS X (en très très gros)?"

pour un particulier : à rien."

Je vais être court : Minecraft.
7 millions de joueurs.

avatar ErGo_404 | 

[quote]havox79 [28/08/2012 15:51] via MacG Mobile

Java sert à divers logiciels multiplateforme mais la plupart demande java 1.6 donc ça touchera relativement peu de personnes je pense.
En + par défaut c'est toujours 1.6 qui s'installe sur ML quand un logiciel requiert java. [/quote]
Bah oui on parle d'une faille grave dans une préversion ... autrement dit dans une bêta.

Les logiciels demandent Java 1.6 mais la 1.7 est parfaitement rétrocompatible.

avatar eTeks | 

Bon allez, puisque vous insistez, Java 6 sert aussi à Sweet Home 3D. Quelques millions d'utilisateurs aussi.
Pour info, Sweet Home 3D ne fonctionne d'ailleurs pas encore avec Java 7 sous Mac OS X, donc ça tombe bien pour vous !

avatar marc_os | 

"cela sert peu au grand public"

"c'est très facile de se passer de java. très peu d'applications bureautique s'en serve."

Il y a juste [b]OpenOffice[/b] qui en a besoin pour certaines fonctions, ou neoOffice qui ne peut pas fonctionner sans. Je n'ai pas encore testé freeOffice.

avatar Mathias10 | 

La faille permet uniquement d'executer des .exe, on a rien a craindre sous mac os, absolument rien.

Enfin, cela ne touche que la version 7update6 autrement dit, aucun d'entre nous ou alors 4 ou 5 personnes puisque nous sommes TOUS sous 6 en théorie.

avatar tbr | 

Deux questions :

1/ j'utilise ML mais je n'ai pas installé Java (ou du moins pas après avoir fait la mise à jour de Lion à Mountain Lion.
Est-ce que je risque d'être touché par cette faille > un software (chrome, etc.) que j'ai installé et qui contiendrait cette version de java buggée ?

2/ existe-t-il un moyen (test) de savoir si l'on est atteint ?

Merci de me répondre.

Cordialement,

tbr

avatar Goldevil | 

Quelques logiciels client connus (ou moins) écrits en Java :

- OpenOffice et ses dérivés (NeoOffice, LibreOffice)
- Freemind
- Azureus (Bittorrent client)
- Matlab et Maple

Dans le domaine de la programmation, il y a pléthore en commançant par Eclipse et ses dérivés (comme Flash Builder).

Au niveau des logiciels serveurs, Java est un acteur majeur et Objective C compte pour du beurre. Il faut dire qu'Apple ne propose plus rien comme machine pouvant servir de serveur (en dehors du Mac mini "serveur" orienté TPE/PME)

avatar tbr | 

Ah oups, j'allais oublier !... Je joue à Minecraft 1.3.2

avatar myrddin-fr | 

@ Goldevil :

Perdu.... OpenOffice et ses fork sont codés en C++... Java est juste utilisé pour quelques fonctions annexe style les "Assistants".

avatar Darkomen78 | 

Pour ceux qui sont vraiment flipper de se faire pirater (logiquement il n'ont AUCUNE chance d'avoir Java 7 d'installer, mais passons) ouvrez le terminal et taper : java -version , puis valider avec la touche entrée, si votre version est en dessous de la 1.7, aucune chance de vous faire avoir par cette faille là. (maintenant il reste les 100 aines d'autres failles non divulguées/exploitées)

avatar Sushiwa | 

Depuis que j'ai installé java 7, mon client Minecraft ne veux plus se lancer et me réclame une version 1.6 ou + de java. Des idées quelqu'un ? J'aimerai pouvoir l'utiliser sans avoir a repasser en 1.6

avatar Trollolol | 

"Mathias10 [28/08/2012 16:41]

La faille permet uniquement d'executer des .exe, on a rien a craindre sous mac os, absolument rien."

Lol, l'exploit permet juste de gagner un accès en remote à la machine mais t'as raison c'est juste pour exécuter des .exe et c'est bien connu que si tu veux infecter des machines sous Windows tu vas te servir de .sh... Pas trop lourde les oeillères en béton ?

avatar Goldevil | 

@myrddin-fr : Je savais que ce ne sont pas des logiciels 100% Java mais je pensais que la majorité du code l'était. Merci pour l'info.

avatar valcapri | 

Il semblerait que cette faille ne se pose qu'en cas d'éxécution d'une applet Java (via un navigateur ou Webstart). Il faut voir si Java 7 SE 4 est touché lui aussi. On sait que la faille est exploitable sous Chrome et Firefox sous Ubuntu 12.04; Safari, Chrome et Firefox sous OS X 10.7.4 (ML aussi) et IE, Firefox et Chrome sous Windows. Donc en gros tous les navigateurs avec un plug-in Java SE 7 Update 6 est vulnérable. Je trouve cela plutôt inquiétant, ça semble aller plus loin que Flashback.

avatar jipeca | 

@ marc_os et goldevil

NeoOffice 3.3 est maintenant codé en cocoa, respecte le gatekeeper, et prend en charge Retina...
pour ne citer que le principal.

Et par rapport à Ooo et LibrO, il y a un monde de réactivité... Même Word ne s'ouvre pas avec la même célérité. Et j'ai les deux sur ma bécane, par obligation professionnelle.

avatar davi18 | 

@ jipeca

En même temps, NeoOffice est conçu pour ne fonctionner uniquement sur MacOS.
Il est donc normal qu'il soit plus rapide puisqu'il est optimisé pour un seul système contrairement à LibreOffice et Apache OpenOffice.

avatar Seccotine | 

On se serait bien passé de Java pour Minecraft... malheureusement.

avatar franck066 | 

Bonsoir, Pour désinstaller Java 7 et restaurer apple java 6 : www.java.com/fr/download/help/mac_restore_java6.xml .

avatar Trollolol | 

Désinstaller une version avec des trous connu et utiliser pour la remplacer par une plus ancienne avec elle aussi des trous connu et utiliser, logique :)

avatar Seccotine | 

@ jipeca

Je peux t'assurer qu'il n'y a pas beaucoup de Cocoa dans Office. Quand on l'ouvre, on dirait quasi du X11 skinné pour Mac OS X 10.3.

avatar jipeca | 

C'était vrai jusque 3.2...ou il n'y avait QUE du java. Apache OpenOffice, LibrOffice et Symphony C++ .
Ils contiennent toujours un pau de Java c'est vari, mais de moins en moins.

Depuis la version 3.3 (et on en est à 3.3.1 maintenant), le code est largement réécrit en cocoa.
Les autres "nouveautés" sont le support de RETINA, Gatekeeper, et il n'est plus nécessaire de charger les packs de langues entre autres Francais, Italien et Allemand.

Je rappelle que cocoa existe pour des applications spécifiquement écrites pour Mac OS X avec les avantages qui vont l'accompagnent: optimisation, mémoire protégée, multitâche préemptif, interface Aqua, etc. Le grand luxe quoi!

avatar eTeks | 

@ Seccotine
Si Minecraft et d'autres applications Java n'étaient pas programmés en Java, peut-être qu'elles n'existeraient simplement pas sous Mac OS X !

avatar liocec | 

@Trollolol :
+1

avatar GaelW-Mac | 

Java est aussi indispensable pour Microsoft AutoUpdate, Adobe Updater... Des trucs qui servent peu. ^_^

avatar Seccotine | 

@ jipeca

Ils utilisent certainement pas mal d'API de Foundation Kit, mais très peu de l'Application Kit, à part les boîtes de dialogue de Open et Save l'interface ne ressemble toujours à rien de Cocoa.

@eTeks

Un jeu comme Minecraft écrit en C++ n'aurait pas beaucoup de problème à être porté sur Mac. De plus, la version Xbox a du être réecrite en C++ car du Java sur console, faut pas déconner. On optimise encore là-dessus, et on essaye pas d'émuler un CPU qui n'existe pas (JVM).

avatar jipeca | 

Et c'est quoi une interface cocoa !?
Bon j'arrête, ça n'en vaut vraiment pas la peine...

avatar Seccotine | 

@ jipeca

Une interface qui fait appel à Application Kit et non pas à autre chose. On peut y faire appel rien qu'avec des lignes de code, mais 99% du temps, ce sont des .nib qui sont utilisé. Et NeoOffice n'en contient qu'un seul, celui qui contient les menus.

Mais pas besoin de regarder cela. On regarde cette capture et on voit clairement que cela n'a rien de natif :

http://i.imgur.com/Xq5BV.png

Ou alors on a un gros problème...

avatar rva1mac | 

À chaque news sur Java, il y a un blaireau qui pose la question "A quoi sert Java?" et à chaque fois on répond tout un tas de même conneries du genre "pour un particulier : à rien.", bla bla bla...

:(

PS : Que ce soit LibreOffice ou Apache OpenOffice, ils écrasent NeoOffice à tous points de vue.

PS2 : Puisqu'on en parle, Apache OpenOffice a été mis à jour depuis quelques jours. Il ne mérite pas de news ?

avatar jipeca | 

et les mêmes blaireaux qui affirment sans même avoir testé ce dont ils parlent...

Merde, j'me suis fait avoir... Je répond à une débilité ! je m'étais pourtant promis...

avatar eTeks | 

@ Seccotine
LOL, tu donnes les arguments qui te contredisent ! Si la version C++ de Minecraft n'a pas été (encore ?) réutilisée pour les PC, c'est peut-être que le C++ n'est pas si portable ou si performant, non ? Peut-être aussi que la version Xbox est en C++ car aucune JVM n'y est disponible ! Ce serait intéressant de demander à l'éditeur de Minecraft.

avatar Seccotine | 

@ eTeks

Si la version C++ n'a pas (re) portée sur PC c'est simplement parce qu'il n'y a pas de projet de le faire. Minecraft est toujours en développement et les mise à jour seront toujours en Java. Surtout que la version Xbox est l'équivalent de la beta 1.6 de Minecraft, loin derrière la version actuelle PC.

@ jipeca

C'est NeoOffice 3.3 que j'ai pris en screenshot. Ce n'est pas de cela dont tu parlais ?

CONNEXION UTILISATEUR