Mai 2013
Faille Java 1.7 : potentiellement peu de Mac concernés
par Florian Innocente le 30.08.2012 à 17:48
Les bugs de sécurité découverts dans la toute dernière version de Java pourraient avoir un impact limité sur Mac, ou du moins trouver peu de portes à franchir (lire aussi Une grosse faille dans Java 7). À la demande de TUAW, l'éditeur de la solution de sauvegarde en ligne CrashPlan a observé quelle version de Java (nécessaire pour son utilitaire) était utilisée par ses clients. Sur un échantillon d'un peu plus de 200 000 utilisateurs choisis de manière aléatoire, aucun n'utilisait la version 1.7 de Java mise à disposition en plein mois d'août. L'écrasante majorité (92%) était sur la précédente 1.6 et une minorité (8%) sur la 1.5.
Intego qui a observé la mise au point d'un malware pour OS X basé sur cette faille, rappelle que sa propagation est tributaire de plusieurs facteurs, dont le premier est justement la présence de Java 7 sur sa machine et de son activation. De même, cette version de Java a besoin de Lion au minimum, ce qui exclut de tout risque les personnes sur Snow Leopard.
Si l'on a installé ce Java à sa sortie, on peut désactiver son fonctionnement dans les préférences de son navigateur (ex l'onglet Sécurité dans Safari ; en tapant chrome://plugins/ dans la barre d'adresses chez Google ou en allant dans Outils > Modules complémentaires > Plugins dans Firefox).
Enfin, ComputerWorld a appris d'une société polonaise spécialisée en sécurité que les deux vulnérabilités en question avaient été signalées à Oracle, avec 17 autres, en avril dernier. Sans qu'elles n'aient été corrigées depuis, ni qu'Oracle n'ait réagi suite à leur utilisation récente.
Intego qui a observé la mise au point d'un malware pour OS X basé sur cette faille, rappelle que sa propagation est tributaire de plusieurs facteurs, dont le premier est justement la présence de Java 7 sur sa machine et de son activation. De même, cette version de Java a besoin de Lion au minimum, ce qui exclut de tout risque les personnes sur Snow Leopard.
Si l'on a installé ce Java à sa sortie, on peut désactiver son fonctionnement dans les préférences de son navigateur (ex l'onglet Sécurité dans Safari ; en tapant chrome://plugins/ dans la barre d'adresses chez Google ou en allant dans Outils > Modules complémentaires > Plugins dans Firefox).
Enfin, ComputerWorld a appris d'une société polonaise spécialisée en sécurité que les deux vulnérabilités en question avaient été signalées à Oracle, avec 17 autres, en avril dernier. Sans qu'elles n'aient été corrigées depuis, ni qu'Oracle n'ait réagi suite à leur utilisation récente.
|
2
1
Vos réactions (25 réactions)
BitNic
[30/08/2012 18:06]
Ils sont gentils chez Oracle...
Du coup j'ai tout désinstallé le Java !!!
Ils sont gentils chez Oracle...
Du coup j'ai tout désinstallé le Java !!!
Macleone
[30/08/2012 18:07]
A noter également que OS X désactive déjà Java automatiquement depuis la mise à jour visant à contrer la dernière faille Java 6 qui a touché OS X il y a quelques mois.
A noter également que OS X désactive déjà Java automatiquement depuis la mise à jour visant à contrer la dernière faille Java 6 qui a touché OS X il y a quelques mois.
Coxor
[30/08/2012 18:15]
Pas de Java d'installé => pas de problème :)
Pas de Java d'installé => pas de problème :)
daito
[30/08/2012 18:15]
via iGeneration pour iPad
"avaient été signalées à Oracle, avec 17 autres, en avril dernier. Sans qu'elles n'aient été corrigées depuis, ni qu'Oracle n'ait réagi suite à leur utilisation récente"
On attend la réaction de tous les experts qui pestaient sur la lenteur d'Apple à "implémenter" les corrections de Java.
"avaient été signalées à Oracle, avec 17 autres, en avril dernier. Sans qu'elles n'aient été corrigées depuis, ni qu'Oracle n'ait réagi suite à leur utilisation récente"
On attend la réaction de tous les experts qui pestaient sur la lenteur d'Apple à "implémenter" les corrections de Java.
MachX
[30/08/2012 18:18]
Je l'ai désactivé, mais du coup plus de Cyberduck.
Je l'ai désactivé, mais du coup plus de Cyberduck.
Trollolol
[30/08/2012 18:27]
@daito
"On attend la réaction de tous les experts qui pestaient sur la lenteur d'Apple a implementé les corrections de Java. "
C'des connards comme les autres, tant qu'ya pas de PoC ou d'exploitation la correction est mis en attente. La sécurité des clients c'est secondaire le truc qui compte c'est juste d'avoir les failles qui font l'actualité de corriger.
@daito
"On attend la réaction de tous les experts qui pestaient sur la lenteur d'Apple a implementé les corrections de Java. "
C'des connards comme les autres, tant qu'ya pas de PoC ou d'exploitation la correction est mis en attente. La sécurité des clients c'est secondaire le truc qui compte c'est juste d'avoir les failles qui font l'actualité de corriger.
lmouillart
[30/08/2012 18:32]
@Trollolol la c'est en plus totalement crétin, ils ont changé la visibilité d'une méthode et par effets de bord rendu cette faille exploitable, c'est pour cette raison que cela ne fonctionne pas sur les précédentes version. Oracle, ou la plaie du logiciel.
@Trollolol la c'est en plus totalement crétin, ils ont changé la visibilité d'une méthode et par effets de bord rendu cette faille exploitable, c'est pour cette raison que cela ne fonctionne pas sur les précédentes version. Oracle, ou la plaie du logiciel.
jbmg
[30/08/2012 18:47]
merci pour le "comment désactiver Java".
Je viens de le faire dans les 3 butineurs.
merci pour le "comment désactiver Java".
Je viens de le faire dans les 3 butineurs.
alexk97
[30/08/2012 19:19]
bon je viens de contrôler, je suis encore sous java 6. Je ne risque donc rien… c'est bien ça ?
bon je viens de contrôler, je suis encore sous java 6. Je ne risque donc rien… c'est bien ça ?
liocec
[30/08/2012 20:28]
via MacG Mobile
@tous :
Dans safari, vous faites comment lorsqu'un tableau de produits a des fonctions (tri, filtrage, sélection, etc...) écrites en java et plus de java sur la machine ?
Sur Chrome, il suffit de désactiver le plug-in java. Ensuite si le site a besoin de java, dans la barre d'adresse, à droite, s'affiche une icône "plug-in désactivé" et il est possible d'autoriser java uniquement sur ce site.
@tous :
Dans safari, vous faites comment lorsqu'un tableau de produits a des fonctions (tri, filtrage, sélection, etc...) écrites en java et plus de java sur la machine ?
Sur Chrome, il suffit de désactiver le plug-in java. Ensuite si le site a besoin de java, dans la barre d'adresse, à droite, s'affiche une icône "plug-in désactivé" et il est possible d'autoriser java uniquement sur ce site.
raoultcool
[30/08/2012 20:37]
via MacG Mobile
@daito :
+1 ... Finalement il n'y a pas qu'Apple qui met du temps ...
@daito :
+1 ... Finalement il n'y a pas qu'Apple qui met du temps ...
eTeks
[30/08/2012 20:56]
@ daito
En tant qu'expert, je suis tout autant désespéré par l'attitude d'Apple au printemps dernier, que celle d'Oracle sur ce coup. Chers Apple users, n'enfoncez pas trop Java pour autant, ça n'est pas comme ça que vous me motiverez à réécrire Sweet Home 3D en Javascript pour sa version web.
@ daito
En tant qu'expert, je suis tout autant désespéré par l'attitude d'Apple au printemps dernier, que celle d'Oracle sur ce coup. Chers Apple users, n'enfoncez pas trop Java pour autant, ça n'est pas comme ça que vous me motiverez à réécrire Sweet Home 3D en Javascript pour sa version web.
tleveque
[30/08/2012 21:20]
MacG: Il serait peut-être temps pour vous d'écrire un bon article pour éduquer les gens sur le Java. L'ignorance cause beaucoup de paranoïa inutile....
"Java" n'égale pas "Java Applet". et encore moins "Javascript". Beaucoup confondent encore.
Cette faille ne touche que les "Java Applet". Que sont les applet? Se sont des petit logiciels écris en java qui sont exécutés à l'intérieur d'un navigateur. C'est une vieille technologie qui est maintenant très peu utilisée. Car lente, gourmande en ressources et... laide graphiquement.
Et aussi très sujette aux failles de sécurité. Pour vous en prémunir, il suffit de désactiver Java dans les config de vos navigateurs. Pas besoin de se presser à désinstaller Java au complet de votre ordi!!
En plus, cette faille ne touche que Java 7 (1.7). Les chances que vous ayez Java 7 d'installé sur votre Mac sont quasiment nulles. Car si java est nécessaire, OsX va télécharger la version 1.6 des serveurs d'Apple.
Pour avoir la 7, il faut aller volontairement sur le site d'Oracle pour le télécharger et l'installer manuellement.
Java n'est pas "mal" ;-). C'est un language très puissant très utilisé dans les entreprises. Des millions d'applications web l'utilisent. Quand vous allez sur presque tout les services Google par example, les serveurs en arrière, utilisent java pour traiter vos demandes. C'est le cas de bien des sites web. Vous allez sur des serveurs comme ça plusieurs fois par jours sans le savoir.
Mais dans ces cas, aucun code java de s'exécute sur votre machine. Juste sur les serveurs. Votre navigateur ne vois que le résultat. Du html.
Et Javascript? Aucun rapport avec java. Je ne sais pas c'est qui l'idiot qui à décidé d'utiliser ce nom!!
Javascript est un language scripté qui est exécuté par votre navigateur. Ce n'est pas du code pré-compilé. Il arrive dans votre navigateur sous forme de texte. C'est assez léger et plutôt sécuritaire de nos jours.
Presque tous les site web l'utilise aujourd'hui...
MacG: Il serait peut-être temps pour vous d'écrire un bon article pour éduquer les gens sur le Java. L'ignorance cause beaucoup de paranoïa inutile....
"Java" n'égale pas "Java Applet". et encore moins "Javascript". Beaucoup confondent encore.
Cette faille ne touche que les "Java Applet". Que sont les applet? Se sont des petit logiciels écris en java qui sont exécutés à l'intérieur d'un navigateur. C'est une vieille technologie qui est maintenant très peu utilisée. Car lente, gourmande en ressources et... laide graphiquement.
Et aussi très sujette aux failles de sécurité. Pour vous en prémunir, il suffit de désactiver Java dans les config de vos navigateurs. Pas besoin de se presser à désinstaller Java au complet de votre ordi!!
En plus, cette faille ne touche que Java 7 (1.7). Les chances que vous ayez Java 7 d'installé sur votre Mac sont quasiment nulles. Car si java est nécessaire, OsX va télécharger la version 1.6 des serveurs d'Apple.
Pour avoir la 7, il faut aller volontairement sur le site d'Oracle pour le télécharger et l'installer manuellement.
Java n'est pas "mal" ;-). C'est un language très puissant très utilisé dans les entreprises. Des millions d'applications web l'utilisent. Quand vous allez sur presque tout les services Google par example, les serveurs en arrière, utilisent java pour traiter vos demandes. C'est le cas de bien des sites web. Vous allez sur des serveurs comme ça plusieurs fois par jours sans le savoir.
Mais dans ces cas, aucun code java de s'exécute sur votre machine. Juste sur les serveurs. Votre navigateur ne vois que le résultat. Du html.
Et Javascript? Aucun rapport avec java. Je ne sais pas c'est qui l'idiot qui à décidé d'utiliser ce nom!!
Javascript est un language scripté qui est exécuté par votre navigateur. Ce n'est pas du code pré-compilé. Il arrive dans votre navigateur sous forme de texte. C'est assez léger et plutôt sécuritaire de nos jours.
Presque tous les site web l'utilise aujourd'hui...
2
1
Réagir
Il n'est pas possible de réagir à cette dépêche. Si vous souhaitez toutefois réagir, n'hésitez pas à faire un tour dans nos forums.