Version imprimable du sujet

Cliquez ici pour voir ce sujet dans son format original

Forums MacBidouille _ Macbidouille Articles & News : Vos Réactions _ Encore une faille majeure de Java

Écrit par : Lionel 12 Jan 2013, 09:02

Java, installé sur des centaines de millions d'ordinateurs et multiplateforme, est devenu le terrain privilégié des groupes de pirates (souvent des états) afin de prendre le contrôle d'ordinateurs.
Une nouvelle faille découverte a même incité les autorités américaines à déconseiller son utilisation.
En attendant qu'Oracle comble la faille, Apple a été proactif et a bloqué à distance l'applet touché par cette faille majeure via son système anti-malware.

Attention toutefois, ce sont toutes les versions de Java, de la 4 à la 7 qui sont touchées par cette faille, que l'on pourrait d'ailleurs plus qualifier de cratère béant.
Par Lionel

Écrit par : cboudier 12 Jan 2013, 09:45

Citation (Lionel @ 12 Jan 2013, 09:02) *
Apple a été proactif et a bloqué à distance l'applet touché par cette faille majeure via son système anti-malware.

???
Donc, concrètement, on n'a rien à faire, c'est ça ?
Cet applet est-il en contact avec un serveur Apple qui le met au courant des dernières menaces ?
Comment savoir s'il est bien installé sur son ordinateur ?

Merci pour l'information Lionel !

EDIT
Pour l'instant, j'ai enlevé ce que j'ai trouvé de Java grâce à http://apple.stackexchange.com/questions/24131/uninstalling-java-on-lion...

Dans la foulée, j'ai lancé "Mise à jour de logiciels..." et ceci est apparu :
Mise à jour de http://support.apple.com/kb/HT5246?viewlocale=fr_FR&locale=fr_FR

Écrit par : annapurna 12 Jan 2013, 10:06

plus d'explication ici:

http://reviews.cnet.com/8301-13727_7-57563567-263/new-malware-exploiting-java-7-in-windows-and-unix-systems/

le mieux reste de le désactiver dans les prefs Java et dans les modules complémentaires de votre navigateur pour le réactiver en fonction des besoins (Cyberduck ou autres...)

Écrit par : chevy 12 Jan 2013, 13:20

Quand pourra-t-on se passer de Java ou en revenir à une version bien plus basique ? C'était un petit système multi-plateformes très sûr et c'est devenu depuis quelques années une vraie plaie sujette à toutes les infections.

Écrit par : Cali 12 Jan 2013, 13:24

Carrément désinstallé sur Mac et PC. mad.gif

Écrit par : Ar_H 12 Jan 2013, 13:26

http://www.mac4ever.com/actu/76688_apple-a-bloque-java-dans-safari-a-votre-insu

Écrit par : Jeeves38 12 Jan 2013, 14:16

Il y a pas mal de temps que je me passe de Java.
Sous SnowLéopard (10.6.8), Java SE 6 est désactivé dans Safari et Chromium depuis les premières alertes.
J'ai pourtant toujours accès à des services qui me sont essentiels : banque, Service public, Impôts, Electricité …
Si je peux éviter d'utiliser un module considéré comme "dangereux" sans perte de fonctionnalités, j'aimerai qu'on m'explique pourquoi je devrais râler !
Et surtout dans quelles conditions il est indispensable.
Merci à tous les contributeurs sérieux … whistle.gif

Écrit par : Glukx ouglouk 12 Jan 2013, 15:04

Citation (Lionel @ 12 Jan 2013, 10:02) *
Java, installé sur des centaines de millions d'ordinateurs et multiplateforme est devenu le terrain privilégié des groupes de pirates (souvent des états) afin de prendre le contrôle d'ordinateurs.
Une nouvelle faille découverte a même incité les autorités américaines à déconseiller son utilisation.
En attendant qu'Oracle comble la faille, Apple a été proactif et a bloqué à distance l'applet touché par cette faille majeure via son système anti-malware.


Attention toutefois, ce sont toutes les version de Java, de la 4 à la 7 qui sont touchées par cette faille que l'on pourrait d'ailleurs plus qualifier de cratère béant.
Par Lionel

Petites précisions :
- Apple n'a pas bloqué un applet particulier mais le plug-in web de Java - ce qui revient à bloquer tous les applets Java (ainsi que Java Web Start). Au passage, c'est a priori le seul moyen simple de bloquer toute vulnérabilité en attendant que al faille soit corrigée (enfin, à moins de désinstaller Java entièrement, évidemment).
- Le blocage ne semble concerner que Safari (en tous cas, j'ai pu le faire fonctionner normalement dans Firefox).

Sinon, de façon générale, c'est toujours une bonne idée de désactiver le plug-in web de Java tant qu'on n'en a pas besoin : on ne rencontre de toutes façons pas souvent des applets de nos jours, et des failles de sécurité sont inévitables dans ce genre de plug-ins. Au passage, il serait plus que temps qu'Oracle prenne les choses en main en arrêtant d'activer par défaut le plug-in web dans leurs installeurs - mais on bon, on peut toujours rêver...

Écrit par : GregWar 12 Jan 2013, 15:20

Citation (Jeeves38 @ 12 Jan 2013, 14:16) *
Il y a pas mal de temps que je me passe de Java.
Sous SnowLéopard (10.6.8), Java SE 6 est désactivé dans Safari et Chromium depuis les premières alertes.
J'ai pourtant toujours accès à des services qui me sont essentiels : banque, Service public, Impôts, Electricité …
Si je peux éviter d'utiliser un module considéré comme "dangereux" sans perte de fonctionnalités, j'aimerai qu'on m'explique pourquoi je devrais râler !
Et surtout dans quelles conditions il est indispensable.
Merci à tous les contributeurs sérieux … whistle.gif



Je vais essayer d'être un contributeur sérieux :-)
Je suis dev Java, que je considère comme l'un des langages ayant aujourd'hui le plus de qualité.
On va pas jouer à qui est le meilleur, mais c'est un excellent outil, appuyé par une communauté et des professionnels de première classe.
Mais Java, aujourd'hui, c'est dans le téléphone, ou sur un serveur. Sur un PC normal, il devient assez inutile.

Pour l'utilisateur moyen, il ne sert presque plus à rien.
Sur le web, on a encore qqs rares outils qui en ont besoin (genre sur speedtest, il y a un des modules qui demande, ou encore des clients VNC, ou des prises de controles à distance iDrac...)

Donc vu tes utilisations (en gros tu sembles consommer du web), c'est clair, Java n'est absolument pas nécessaire.

Écrit par : linus 12 Jan 2013, 15:37

Citation (Jeeves38 @ 12 Jan 2013, 14:16) *
Il y a pas mal de temps que je me passe de Java.
Sous SnowLéopard (10.6.8), Java SE 6 est désactivé dans Safari et Chromium depuis les premières alertes.
J'ai pourtant toujours accès à des services qui me sont essentiels : banque, Service public, Impôts, Electricité …
Si je peux éviter d'utiliser un module considéré comme "dangereux" sans perte de fonctionnalités, j'aimerai qu'on m'explique pourquoi je devrais râler !
Et surtout dans quelles conditions il est indispensable.
Merci à tous les contributeurs sérieux … whistle.gif


Tout dépend de ce qu'on fait. Les applets ou les application Java sont bien pratiques dans le mode scientifique et je ne crois pas qu'il y ait d'alternative pour réaliser des applications web offrant une interface graphique, des tracés et effectuant des calculs.
Pour des animations plus simples, mais effectuant aussi des calculs, il y avait Flash et son Action script que HTML5 ne me parait pas encore en mesure de remplacer.
Bref, on est dans une situation bizarre où les bons outils ont disparu (ou sont mal en point) et il n'y a plus de vraie solution multiplateforme. Une vraie régression.

Écrit par : Jeeves38 12 Jan 2013, 16:18

Merci à GregWar et linus pour leurs réponses.
Bien que, par prudence et absence de nécessité, je n'utilise pas, je n'ai rien contre.
Si j'ai à peu près compris ce que vous voulez dire, vous utilisez l' "application Java" dans des projets bien déterminés, qui ne pourraient fonctionner sans ?

Écrit par : Dj x-fuse 12 Jan 2013, 18:10

Citation (Lionel @ 12 Jan 2013, 09:02) *
ce sont toutes les versions de Java, de la 4 à la 7 qui sont touchées par cette faille, que l'on pourrait d'ailleurs plus qualifier de cratère béant.

Un véritable gruyère ^^
Moi qui voulait manger une fondue savoyarde ce soir... Je sais quoi ajouter dedans laugh.gif


Citation (chevy @ 12 Jan 2013, 13:20) *
Quand pourra-t-on se passer de Java [...] ?


Citation (Cali @ 12 Jan 2013, 13:24) *
Carrément désinstallé sur Mac et PC. mad.gif


Si je fais ça, j'ai plus de travail laugh.gif \o/

Écrit par : Ferquatre 12 Jan 2013, 19:02

Peut on m'expliquer comment ce que vous qualifiez de "cratère béant" a pu échapper jusqu'à maintenant à la sagacité de tous les développeurs, alors qu'on connait depuis longtemps les problèmes de cet applet?

Écrit par : Dj x-fuse 12 Jan 2013, 19:12

Citation (Ferquatre @ 12 Jan 2013, 19:02) *
Peut on m'expliquer comment ce que vous qualifiez de "cratère béant" a pu échapper jusqu'à maintenant à la sagacité de tous les développeurs, alors qu'on connait depuis longtemps les problèmes de cet applet?

Faille 0 days ?

Pas plus d'idées que ça confused5.gif

Écrit par : GregWar 12 Jan 2013, 20:37

Citation (linus @ 12 Jan 2013, 15:37) *
Citation (Jeeves38 @ 12 Jan 2013, 14:16) *
Il y a pas mal de temps que je me passe de Java.
Sous SnowLéopard (10.6.8), Java SE 6 est désactivé dans Safari et Chromium depuis les premières alertes.
J'ai pourtant toujours accès à des services qui me sont essentiels : banque, Service public, Impôts, Electricité …
Si je peux éviter d'utiliser un module considéré comme "dangereux" sans perte de fonctionnalités, j'aimerai qu'on m'explique pourquoi je devrais râler !
Et surtout dans quelles conditions il est indispensable.
Merci à tous les contributeurs sérieux … whistle.gif


Tout dépend de ce qu'on fait. Les applets ou les application Java sont bien pratiques dans le mode scientifique et je ne crois pas qu'il y ait d'alternative pour réaliser des applications web offrant une interface graphique, des tracés et effectuant des calculs.
Pour des animations plus simples, mais effectuant aussi des calculs, il y avait Flash et son Action script que HTML5 ne me parait pas encore en mesure de remplacer.
Bref, on est dans une situation bizarre où les bons outils ont disparu (ou sont mal en point) et il n'y a plus de vraie solution multiplateforme. Une vraie régression.


J'ouvre une brèche à Troll, mais mon avis, c'est que la finalité d'HTML 5, c'est de refaire tout ce que sait faire l'applet depuis presque 20 ans :-)
Sandboxing, Gestion des IO & sockets, des Threads, des contextes graphiques, etc... on y arrive. Sauf que la "VM" sera toujours lancée, ce qui élimine l'horrible expérience utilisateur qu'on a connu avec le temps de lancement, et la signature des libs.

Comme souvent il est ironique de voir que tout ce qu'on a inventé pour répondre à ce besoin de client riche, est mort à feu doux, alors que ce qui perce, c'est l'archaïque couple HTTP/HTML, qui n'a surtout pas été fait pour ça.
Et pourtant de java, à shockwave, à flash, à silverlight, etc... il y en a eu des tentatives.

Et il ne faut pas rêver, avec la puissance fonctionnelle de ce que l'on balance dans les moteurs Javascripts récents, et le fait que le code se compile de plus en plus en natif, le nombre de failles va aussi exploser.
Les navigateurs vont stocker de plus en plus en local, et bien plus que des petits cookies, il faut s'attendre à qqs exploits.


Citation (Jeeves38 @ 12 Jan 2013, 16:18) *
Merci à GregWar et linus pour leurs réponses.
Bien que, par prudence et absence de nécessité, je n'utilise pas, je n'ai rien contre.
Si j'ai à peu près compris ce que vous voulez dire, vous utilisez l' "application Java" dans des projets bien déterminés, qui ne pourraient fonctionner sans ?


C'est pas "l'application" Java le problème, c'est le plugin Java du navigateur qui execute l'Applet.
L'application, on ne peut pas la lancer de l'extérieur, l'Applet Java, elle est dans la page que l'on a décidé de t'afficher.
Et tu ne peux pas le savoir à l'avance, donc si tu tombes par hasard sur une méchante page, le simple fait de la charger va démarrer l'Applet, et tu es exposé.
Et comme ce sont des petits malins, il font une applet invisible, si bien que beaucoup peuvent ne pas s'en rendre compte.

Pour ma part, je développe des applis serveurs en Java, et des apps Android aussi, donc, oui, sans Java, je ne vais pas faire grand chose :-)
Si de l'iPhone, mais bon... autre sujet.

Écrit par : emmman 12 Jan 2013, 22:57

Le site d'Intel en a besoin pour récupérer automatiquement les bons pilotes à jour sur un PC. Pratique. Ca serait bien de pouvoir l'autoriser à la main uniquement pour une liste blanche. En attendant je désactive et réactive en fonction des besoins...

Écrit par : zero 13 Jan 2013, 06:40

Citation (emmman @ 13 Jan 2013, 06:57) *
Le site d'Intel en a besoin pour récupérer automatiquement les bons pilotes à jour sur un PC. Pratique. Ca serait bien de pouvoir l'autoriser à la main uniquement pour une liste blanche. En attendant je désactive et réactive en fonction des besoins...

Un bon navigateur, devrait être capable de le faire. Dire de c'est Chrome qui a le plus de réglages de ce genre. C'est bien dommage. Surtout pour les navigateurs que l'on dit "libre"

Écrit par : annapurna 13 Jan 2013, 06:48

Citation (zero @ 13 Jan 2013, 06:40) *
Citation (emmman @ 13 Jan 2013, 06:57) *
Le site d'Intel en a besoin pour récupérer automatiquement les bons pilotes à jour sur un PC. Pratique. Ca serait bien de pouvoir l'autoriser à la main uniquement pour une liste blanche. En attendant je désactive et réactive en fonction des besoins...

Un bon navigateur, devrait être capable de le faire. Dire de c'est Chrome qui a le plus de réglages de ce genre. C'est bien dommage. Surtout pour les navigateurs que l'on dit "libre"


Oui mais alors coté CPU, Chrome fait fort 99% d'utilisation dans moniteur d'activité...

Écrit par : Sgt.Pepper 13 Jan 2013, 10:45

Sauf que la Suite Adobe (Photoshop, Indesign, Illustrator et consorts) nécessite Java. Donc, bien obligé de l'installer. dry.gif

Écrit par : ericb2 13 Jan 2013, 11:03

Ce qui est impressionnant dans cette affaire, c'est que le résultat du travail de beaucoup de développeurs, pendant beaucoup d'années, soit plus fragile que les forteresses DRM-isées que sont en train de construire Apple et Microsoft avec leurs machines "fermées".


Écrit par : lyonnel4 13 Jan 2013, 11:35

bonjour,

Une faille qui était là depuis des années et que personne n'avait remarquée jusqu'à aujourd'hui, je n’appellerais pas ça un "cratère".

J'ai l'impression que derrière tout cette histoire se cache des choses pas très nettes...

Écrit par : ungars 13 Jan 2013, 11:47

Citation (Sgt.Pepper @ 13 Jan 2013, 12:45) *
Sauf que la Suite Adobe (Photoshop, Indesign, Illustrator et consorts) nécessite Java. Donc, bien obligé de l'installer. dry.gif


Sans oublier Eclipse, Netbeans, OpenOffice, NeoOffice, LibreOffice, et sans doute d'autres gros morceaux !

Écrit par : Raff 13 Jan 2013, 11:56

Cratère béant biggrin.gif
mort de rire biggrin.gif

Écrit par : Drakko 13 Jan 2013, 16:01

Encore une faille dans java ?

Java l'dire à tout l'monde !

Écrit par : blacksmith 13 Jan 2013, 21:16

Citation (Drakko @ 13 Jan 2013, 16:01) *
Java l'dire à tout l'monde !

La sortie est par là =>
Ferme la porte en sortant STP.

heheheh wink.gif tongue.gif

Écrit par : yoffy 13 Jan 2013, 22:05

Java pas la tête !? tongue.gif

Écrit par : Xdave 13 Jan 2013, 22:45

Ce qui n'est pas drôle dans ce genre d'histoire c'est que sur les machines un tant soit peu anciennes qui ne peuvent supporter un OS assez récent, il n'y aura pas de mise à jour du logiciel.
Java sous OS X pre Mountain Lion, c'est Apple qui gère ...
Comme Flash pour les Macs PowerPC par exemple.

Écrit par : annapurna 13 Jan 2013, 23:16

Citation (Xdave @ 13 Jan 2013, 22:45) *
Ce qui n'est pas drôle dans ce genre d'histoire c'est que sur les machines un tant soit peu anciennes qui ne peuvent supporter un OS assez récent, il n'y aura pas de mise à jour du logiciel.
Java sous OS X pre Mountain Lion, c'est Apple qui gère ...
Comme Flash pour les Macs PowerPC par exemple.


d'où (de mon Imac G5 PPC ALS) l'idée de désactiver dans les prefs Java ainsi que dans son navigateur...

Écrit par : Rorqual 14 Jan 2013, 08:42

Java 7 Update 11 est sorti : il y a quelques développeurs qui ont du avoir un week-end raccourci !

Écrit par : duncan 14 Jan 2013, 11:26

comme d'hab, aucune info sur la faille, juste du ressenti "cratère béant".

Au passage, ce n'est pas Java qui contient la faille mais le plug-in web.

Aucun risque pour toutes les applications clients ou serveurs Java.

Propulsé par Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)