Deux nouvelles failles 0-Day dans Java, Réactions à la publication du 01/03/2013 |
Bienvenue invité ( Connexion | Inscription )
Deux nouvelles failles 0-Day dans Java, Réactions à la publication du 01/03/2013 |
28 Feb 2013, 23:57
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 346 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Des chercheurs en sécurité polonais ont annoncé avoir découvert deux nouvelles failles 0-Day critiques dans Java. Elles ont été immédiatement communiquées à Oracle, accompagnées du code permettant leur exploitation.
Ces deux failles sont présentes dans la plus récente mise à jour de Java et il est fort probable que des pirates puissent les découvrir et les exploiter assez rapidement. Notez qu'Oracle a déjà réagi à la communication de ces failles et a réfuté leur dangerosité, considérant qu'elle utilisait "un comportement autorisé". Les experts en sécurité ne sont pas d'accord sur cette évaluation et ont demandé à Oracle de revoir sa décision. En cas de refus répété, ils publieront les détails de la faille pour prouver qu'elle est réellement dangereuse. Il est une fois de plus fortement conseillé à ceux qui n'ont pas un impérieux besoin d'applets internet de Java de les désactiver. Par Lionel -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
1 Mar 2013, 00:13
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 827 Inscrit : 11 Apr 2012 Membre no 175 864 |
La dispute ne porte que sur l'un des deux failles. Oracle a admis que l'autre en était une.
Pour info, la prochaine mise à jour de Java est prévu pour mi-avril. |
|
|
1 Mar 2013, 00:16
Message
#3
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 863 Inscrit : 13 Dec 2004 Lieu : Jurassic Park Membre no 28 793 |
Décidément, c'est une vraie passoire..
Le problème c'est que j'ai désactiver Java sur les Macs de mes proches justement.. J' ai du le réactiver, car plus personne ne pouvait accéder à la gestion de ses comptes en ligne.. Même pour les deux principales banques "CA, CE".. C'est quoi la solution, utiliser un vieux Java sur PowerPC ? -------------------- Mac Pro 2012 5.1 Hexa 3,46Gz 48Go Nvidia GTX 980 Ti 6Go
Cinema Display 30" - iSight firewire -Sonnet Tempo MX550 512Go (El Capitan 10.11.6) -Apricorn Solo MX200 500Go (Windows 10 Pro 64) MacBook 12 Retina 1,1Ghz 8Go/256Go - iPhone 6S 64Go |
|
|
1 Mar 2013, 00:32
Message
#4
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 827 Inscrit : 11 Apr 2012 Membre no 175 864 |
Il faut désactiver Java, et ne l'activer que quand on en a besoin sur un site de confiance, puis le désactiver sitôt après. Sans oublier de signifier à sa banque qu'il serait temps de se mettre à jour : exiger Java pour la gestion d'un compte en ligne en 2013 ne fait pas très sérieux.
Ce message a été modifié par downanotch - 1 Mar 2013, 00:33. |
|
|
1 Mar 2013, 00:42
Message
#5
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 863 Inscrit : 13 Dec 2004 Lieu : Jurassic Park Membre no 28 793 |
Effectivement cela ne fait pas très sérieux! Et pourtant, impossible de passer par le clavier virtuel pour rentrer son code sans java!
-------------------- Mac Pro 2012 5.1 Hexa 3,46Gz 48Go Nvidia GTX 980 Ti 6Go
Cinema Display 30" - iSight firewire -Sonnet Tempo MX550 512Go (El Capitan 10.11.6) -Apricorn Solo MX200 500Go (Windows 10 Pro 64) MacBook 12 Retina 1,1Ghz 8Go/256Go - iPhone 6S 64Go |
|
|
1 Mar 2013, 00:50
Message
#6
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 827 Inscrit : 11 Apr 2012 Membre no 175 864 |
Avec des codes à usage unique (challenge-response via une calculette dédiée) pas besoin de clavier virtuel. Même si la machine est compromise et qu'un keylogger est présent, le code capturé n'a aucun intérêt.
|
|
|
1 Mar 2013, 01:36
Message
#7
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 32 187 Inscrit : 15 Nov 2005 Membre no 49 996 |
Effectivement cela ne fait pas très sérieux! Et pourtant, impossible de passer par le clavier virtuel pour rentrer son code sans java! Ils ont fait le clavier virtuel en Java ?C'est quoi ces guignols Toutes les banques que je connais ont fait ce clavier virtuel en Javascript, vraiment pas besoin de Java pour ça. En plus le Javascript ça marche sur mobiles... -------------------- |
|
|
1 Mar 2013, 02:04
Message
#8
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 752 Inscrit : 4 Dec 2007 Lieu : Toulouse Membre no 101 651 |
Et les smartphones ou tablettes sous Android sont concernées aussi ?
Je veux dire : les navigateurs ont un JavaWebPlugin qu'on peut désactiver ? (c'est pas un troll hein, juste une question moi je n'ai qu'un iPad, vous savez ce truc avec un système fermé…) -------------------- iMac 2017 : Ventura 13.6.3 / iPhone 7Plus : iOS 15.8 / iPadPro 2020 : iOS 17.2
|
|
|
1 Mar 2013, 02:05
Message
#9
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 863 Inscrit : 13 Dec 2004 Lieu : Jurassic Park Membre no 28 793 |
Toutes les banques que je connais ont fait ce clavier virtuel en Javascript, vraiment pas besoin de Java pour ça. En plus le Javascript ça marche sur mobiles... Autant pour moi, j' avais également désactiver JavaScript.. Je viens de faire le test en laissant seulement JavaScript dans les prefs de Safari, cela fonctionne. Je pensais que Java et Javascript étaient liés -------------------- Mac Pro 2012 5.1 Hexa 3,46Gz 48Go Nvidia GTX 980 Ti 6Go
Cinema Display 30" - iSight firewire -Sonnet Tempo MX550 512Go (El Capitan 10.11.6) -Apricorn Solo MX200 500Go (Windows 10 Pro 64) MacBook 12 Retina 1,1Ghz 8Go/256Go - iPhone 6S 64Go |
|
|
1 Mar 2013, 02:14
Message
#10
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 9 752 Inscrit : 9 Nov 2001 Lieu : Pays d’Aix Membre no 1 255 |
Je ne vois nulle part d'interrupteur marche/arrêt.
Merci de confirmer / infirmer… -------------------- Mac Studio M1max 32 Go 1 To - Sonoma - Eizo 27" + Nec 21" - usage PAO
MBp14 M2pro 16 Go 1 To - Sonoma - iPhone 15 128 - iWatch 6 abonné VVMac |
|
|
1 Mar 2013, 02:18
Message
#11
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 515 Inscrit : 21 Sep 2005 Membre no 46 410 |
Oui, c'est ça.
|
|
|
1 Mar 2013, 03:22
Message
#12
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 277 Inscrit : 27 Dec 2002 Lieu : Punaauia (Tahiti / Polynésie française) Membre no 5 317 |
Toutes les banques que je connais ont fait ce clavier virtuel en Javascript, vraiment pas besoin de Java pour ça. En plus le Javascript ça marche sur mobiles... Autant pour moi, j' avais également désactiver JavaScript.. Je viens de faire le test en laissant seulement JavaScript dans les prefs de Safari, cela fonctionne. Je pensais que Java et Javascript étaient liés Au temps pour moi ... |
|
|
1 Mar 2013, 03:26
Message
#13
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 414 Inscrit : 29 Aug 2006 Lieu : un pti' coin sympa... Membre no 66 860 |
Le fait est que je ne sais même pas ce qui utilise java... j'ai bien azureus et firefox pour open studio (je sais pas accorder ma guitare autrement)
ya d'autre truc ? -------------------- Dell XPS 15" 2017, Windows 10 - Macbook pro 13" fin 2009, El Capitan - PC Artisanal 2009, Windows 10 - Serveur Artisanal 2011, FreeNAS 9 - Serveur Synology DS414, DSM 6
|
|
|
1 Mar 2013, 04:42
Message
#14
|
|
Adepte de Macbidouille Groupe : Membres Messages : 98 Inscrit : 21 Aug 2006 Lieu : Saint-Denis La Réunion Membre no 66 377 |
J'ai bien cherché pour désactiver dans mes préférences systhème, mais moi j'ai juste ceci:
Capture_d___e__cran_2013_03_01_a___07.41.08.jpg ( 38.77 Ko ) Nombre de téléchargements : 63 y'a comme un défaut non? -------------------- HackPro core i7 3770k@4,5Ghz - 32Go - AMD RX 580 8Go - 512Go Samsung 860 EVO - 2 x crucial MX200 500Go Raid0 - HD 8To + 2x6 To Raid JBOD (Time Machine) + Dell UP3216Q
|
|
|
1 Mar 2013, 06:09
Message
#15
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 336 Inscrit : 1 Apr 2005 Membre no 36 376 |
Je sais pas moi j'ai même pas le panneau de préférence en question... Et pourtant j'ai installé Java à la main.
-------------------- Je recherche un AS/400, iSeries, System i5, System i, des disques durs, des consoles, des câbles, des supports OS/400, i5/OS, IBM i, de la documentation, des licences, des cartes (réseau, twinax, etc.). En gros ce qui est lié à l'AS400 et dont vous/votre entreprise se débarrasse. Vous migrez de l'AS/400 vers une autre solution? Ne jetez plus votre AS/400, il fera des heureux.
|
|
|
1 Mar 2013, 07:30
Message
#16
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 058 Inscrit : 7 Sep 2001 Lieu : Sartrouville Membre no 755 |
Poneyboy, le panneau est avec Java 7 d'Oracle. Pas le Java 6 d'Apple.
J'ai bien cherché pour désactiver dans mes préférences systhème, mais moi j'ai juste ceci: y'a comme un défaut non? Bizarre. Quelle version de Java est installée ? (1er onglet) -------------------- |
|
|
1 Mar 2013, 08:08
Message
#17
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 625 Inscrit : 21 May 2002 Membre no 2 515 |
Décidément, c'est une vraie passoire.. Le problème c'est que j'ai désactiver Java sur les Macs de mes proches justement.. J' ai du le réactiver, car plus personne ne pouvait accéder à la gestion de ses comptes en ligne.. Même pour les deux principales banques "CA, CE".. C'est quoi la solution, utiliser un vieux Java sur PowerPC ? de pas aller sur n'importe quel site web.... -------------------- Steve Job: Les bons artistes copient, les grands artistes volent, nous avons toujours été sans scrupule lorsqu'il s'agit de voler de grandes idées.
|
|
|
1 Mar 2013, 08:35
Message
#18
|
|
Nouveau Membre Groupe : Membres Messages : 8 Inscrit : 12 Sep 2004 Membre no 23 486 |
Des chercheurs en sécurité polonais ont annoncé avoir découvert deux nouvelles failles 0-Day critiques dans Java. Elles ont été immédiatement communiquées à Oracle, accompagnées du code permettant leur exploitation. Ces deux failles sont présentes dans la plus récente mise à jour de Java et il est fort probable que des pirates puissent les découvrir et les exploiter assez rapidement. Petite contradiction dans cette news: une faille 0-day est par définition déjà exploitée par des pirates lors de sa découverte http://fr.wikipedia.org/wiki/Zero_day |
|
|
1 Mar 2013, 09:02
Message
#19
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 336 Inscrit : 1 Apr 2005 Membre no 36 376 |
Poneyboy, le panneau est avec Java 7 d'Oracle. Pas le Java 6 d'Apple. Bah je crois qu'il y a une couille dans le visage alors... J'ai installer un merdier qui tient la dedans : jre-7u15-macosx-x64.dmg... Bof, dans 4 jours ma machine sera remasterisée, faudra que je réinstalle ce truc la car il n'est pas dans mon master, et la semaine d'après rebelotte et ainsi de suite alors on va pas se fatiguer, je lance une machine virtuelle Windows pour accéder au management des ProLiants... -------------------- Je recherche un AS/400, iSeries, System i5, System i, des disques durs, des consoles, des câbles, des supports OS/400, i5/OS, IBM i, de la documentation, des licences, des cartes (réseau, twinax, etc.). En gros ce qui est lié à l'AS400 et dont vous/votre entreprise se débarrasse. Vous migrez de l'AS/400 vers une autre solution? Ne jetez plus votre AS/400, il fera des heureux.
|
|
|
1 Mar 2013, 09:41
Message
#20
|
|
Adepte de Macbidouille Groupe : Membres Messages : 195 Inscrit : 17 Dec 2008 Membre no 127 626 |
Il est une fois de plus fortement conseillé à ceux qui n'ont pas un impérieux besoin d'applets internet de Java de les désactiver. impérieux besoin : Avoir un navigateur avec Java activé pour les usages spécifiques, et un navigateur pour l'usage général. Décidément, c'est une vraie passoire.. Le problème c'est que j'ai désactiver Java sur les Macs de mes proches justement.. J' ai du le réactiver, car plus personne ne pouvait accéder à la gestion de ses comptes en ligne.. Même pour les deux principales banques "CA, CE".. C'est quoi la solution, utiliser un vieux Java sur PowerPC ? Bizarre, j'ai deux comptes CA, et je n'ai pas besoin de Java. Ca doit concerner des régions différentes. En tout cas, je réitère mon conseil ci dessus. |
|
|
1 Mar 2013, 09:51
Message
#21
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 075 Inscrit : 16 Dec 2002 Membre no 5 167 |
Il serait utile d'expliquer comment désactiver java pour le système ou pour tel ou tel navigateur.
(j'utilise Firefox et je ne vois pas où c'est...) -------------------- Co-fondateur et Administrateur de l'U.P.L.
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la liste |
|
|
1 Mar 2013, 10:40
Message
#22
|
|
Nouveau Membre Groupe : Membres Messages : 29 Inscrit : 21 Jun 2010 Membre no 155 670 |
Firefox désactive Java par défaut, voir ICI pour gérer Java dans Firefox.
|
|
|
1 Mar 2013, 10:42
Message
#23
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 003 Inscrit : 4 Apr 2003 Membre no 6 986 |
Malheureusement Java est encore utilisé par le webmail de l'antédiluvien Lotus Notes => Firefox pour le webmail et tout le reste dans Safari.
-------------------- MacBook Pro 14", 2021, M1 Pro, 16 GB
Mac mini, 2018, 3 GHz 6 core i5, 8 GB |
|
|
1 Mar 2013, 13:39
Message
#24
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 468 Inscrit : 15 Mar 2004 Membre no 16 276 |
Décidément, c'est une vraie passoire.. Le problème c'est que j'ai désactiver Java sur les Macs de mes proches justement.. J' ai du le réactiver, car plus personne ne pouvait accéder à la gestion de ses comptes en ligne.. Même pour les deux principales banques "CA, CE".. C'est quoi la solution, utiliser un vieux Java sur PowerPC ? CE = Caisse d'Épargne ? Parce que j'accède sans soucis à mes comptes chez eux avec le plug-in Java désactivé, il faut juste le Javascript... C'est la CE Rhône-Alpes pour moi, mais leur site a l'air de fonctionner pareil dans les autres régions. -------------------- Ma config Hackintosh :
CPU Intel Core i5 3570K - GPU Nvidia GeForce GTX660 - Carte mère Gigabyte GA-Z77-D3H - RAM 8Go DDR3-1600 - SSD Crucial M4 Dual-boot OS X 10.8 Mountain Lion/Windows 7 Pro 64 bits |
|
|
1 Mar 2013, 13:43
Message
#25
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 009 Inscrit : 4 Mar 2009 Lieu : Montpellier Odysseum Membre no 132 268 |
Je pensais que Java et Javascript étaient liés Java et Javascript n'ont absolument rien à voir. Le nom Javascript a été choisi pour surfer sur la vague de la mode java. Ce qui porte à confusion. Son nom initial était LiveScript -------------------- Hack Pro "Quad Core" 2.66 (2009/Nehalem) Core i7 920 + EX58-UD5 + GTX660
Macbook Air, iMac 5K iPad Air 2 Honor 5X (Android 6) |
|
|
1 Mar 2013, 13:48
Message
#26
|
|
Macbidouilleur d'argent ! Groupe : Membres Messages : 601 Inscrit : 28 Apr 2005 Lieu : Un peu partout en banlieue parisienne Membre no 38 049 |
Je pensais que Java et Javascript étaient liés Java et Javascript n'ont absolument rien à voir. Le nom Javascript a été choisi pour surfer sur la vague de la mode java. Ce qui porte à confusion. Son nom initial était LiveScript Ce serait faire un procès d'intention que de dire que le choix du nom était pour "surfer sur la vague de la mode java". Lors du choix du nom javascript, Java n'était pas encore populaire. C'est surtout que la syntaxe de javascript était inspiré à l'époque de Java... |
|
|
1 Mar 2013, 15:27
Message
#27
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 863 Inscrit : 13 Dec 2004 Lieu : Jurassic Park Membre no 28 793 |
Je pensais que Java et Javascript étaient liés Java et Javascript n'ont absolument rien à voir. Le nom Javascript a été choisi pour surfer sur la vague de la mode java. Ce qui porte à confusion. Son nom initial était LiveScript Ce serait faire un procès d'intention que de dire que le choix du nom était pour "surfer sur la vague de la mode java". Lors du choix du nom javascript, Java n'était pas encore populaire. C'est surtout que la syntaxe de javascript était inspiré à l'époque de Java... Je ne me suis jamais posé la question avant de devoir désactiver Java.. Mais Java et JavaScript sont en effet totalement différent. Si cela peut aider : JavaScript et Java -------------------- Mac Pro 2012 5.1 Hexa 3,46Gz 48Go Nvidia GTX 980 Ti 6Go
Cinema Display 30" - iSight firewire -Sonnet Tempo MX550 512Go (El Capitan 10.11.6) -Apricorn Solo MX200 500Go (Windows 10 Pro 64) MacBook 12 Retina 1,1Ghz 8Go/256Go - iPhone 6S 64Go |
|
|
1 Mar 2013, 16:36
Message
#28
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 878 Inscrit : 4 Sep 2006 Membre no 67 286 |
Désactiver Java ?
À faire quand on va sur des sites de serial number/crack/warez ou sur des sites de porn douteux sinon...bah... |
|
|
1 Mar 2013, 16:40
Message
#29
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 515 Inscrit : 21 Sep 2005 Membre no 46 410 |
|
|
|
1 Mar 2013, 18:57
Message
#30
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 270 Inscrit : 8 Jan 2004 Membre no 13 171 |
Désactiver Java ? À faire quand on va sur des sites de serial number/crack/warez ou sur des sites de porn douteux sinon...bah... Il y a sans cesse des sites qui n'ont rien de douteux et qui servent d'intermediaires pour distribuer du malware. Soit parce qu'ils ont ete compromis, soit par l'intermediaire de la pub. Quand des sites pour developpeurs (iphonesdk) ou des sites grand public comme NBC.com (http://www.youtube.com/watch?v=z2OLK2y3ClU) distribuent du malware, il est difficile de se croire a l'abris juste en evitant les sites diffusant du porno ou du contenu illicite. -------------------- |
|
|
Nous sommes le : 28th April 2024 - 18:22 |