Une faille majeure dans Java 1.7.
Une faille critique a été découverte dans Java 1.7. Merci à Jean-Luc pour l'avis d'alerte Certa expliqué:
Il s'agit de la même faille concernant Java 1.7 que dans l'alerte du CERTA que je vous avais retransmise hier. Voici quelques précisions supplémentaires.La situation est grave :
- Il s'agit d'un "0-day", aucun correctif n'est disponible.
- L’exploitation de cette faille permet de court-circuiter totalement le mécanisme de sécurité de Java et par conséquent d’exécuter n’importe quelle action sur la machine et en particulier d’installer d’autres codes malfaisants.
- La navigation sur un site Web qui contient un code malfaisant dans une de ses pages suffit pour infecter une machine sans aucune action de l’utilisateur et totalement à son insu.
- Des attaques exploitant cette faille ont été détectées sur Internet.
- Le mécanisme utilisé a été largement détaillé et diffusé, et un code pour exploiter la faille est disponible sur Metasploit, ce qui signifie que tout un chacun est capable d’écrire un code malfaisant.
- Avec la politique de publication des mises à jour d'Oracle qui est de tous les 4 mois, un correctif ne devrait pas être disponible avant octobre. Espérons que pour une fois, vu la gravité, Oracle dérogera à sa politique et publiera un correctif hors cycle normal.
- Tous les navigateurs (Internet Explorer, Firefox, Opera, Chrome) et tous les OS (Windows, Linux, Mac OS X) sont affectés.
- Les solutions de contournement ne sont pas réellement satisfaisantes :
- Désactiver Java
- Retourner à une version 1.6 de JavaPour ceux qui utilisent encore Java 1.6 ne migrer surtout pas vers Java 1.7. Par contre il est important d’utiliser la dernière version de Java 1.6 car les versions antérieures contiennent de graves failles de sécurité.
PS: Pour connaître votre version de Java, entrez dans le terminal java -version (merci à greycat351).