Faille très critique Java, non corrigée...

Résolu/Fermé
Signaler
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
-
 Utilisateur anonyme -
Avis aux utilisateur de Windows, toutes éditions.
Une faille importante vient juste d'être découverte dans Java et non corrigée pour le moment...

Le fait de désactiver le Java-script ne protège pas contre l'exploitation de cette vulnérabilité.
Actuellement sans information claire de la part de Sun sur la correction de cette faille, il est conseillé à l'utilisateur de modifier manuellement ses configurations logicielles.
Pour les deux navigateurs suivants, les manipulations ci-dessous permettent de limiter les risques:
-------------------------------------------------------------------------------------
1: Pour Firefox: Vérifiez si vous avez dans vos plugins ceci:
Java Deployment Toolkit .
Si tel est le cas, ouvrez le menu Outils et choisissez 'Modules complémentaires'.
Dans l'onglet Plugins sélectionnez Java Deployment Toolkit et cliquez sur Désactiver.
---------------
2: Pour Internet Explorer, il est nécessaire de placer un 'Bit d'arrêt' pour l'ActiveX suivant: ''Classe ID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA''. Ici un tuto sur la façon dont réaliser cette manipulation: https://support.microsoft.com/en-us/topic/out-of-date-activex-controls-3ad33b2d-1cee-5d46-1234-e70714324850
Moins freindly user comme manipulations, mais essentielles.
@+
----------
Explication de la menace : La méthode d'attaque permet d'exécuter du code arbitraire à l'exécution du lanceur web Java. Donc par la suite exécuter avec permissions administratives, des gestes graves et prise de contrôle des machines ciblées.
-------------------
Infos supplémentaires:Java Deployment Toolkit est installé automatiquement avec le Java Runtime Environment depuis la version 6 (release 10) dans les navigateurs Internet comme Microsoft Internet Explorer, Mozilla Firefox ou Google Chrome.

Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...

167 réponses

Messages postés
898
Date d'inscription
samedi 6 mars 2010
Statut
Contributeur
Dernière intervention
2 juin 2014
221
je viens a l'instant d'avoir une MÂJ de firefox, qui m'as activement désactivé les les module de java afin de protéger mon pc ;-)

merci tonton jalobservateur d'avoir fait du bruit ;-)

tu as était entendu !!!
6
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 41989 internautes nous ont dit merci ce mois-ci

Utilisateur anonyme
c'est ce que je disais déjà
Messages postés
8187
Date d'inscription
vendredi 12 mai 2006
Statut
Contributeur sécurité
Dernière intervention
22 janvier 2014
1 564
Salut,

Signalé aussi ici
Utilisateur anonyme
apparemment il y a une une évolution du traitement alors, puisque chez toi ça se faisait automatiquement, que moi, j'avais le choix de désactiver ou pas... juste un message qui recommandait de désactiver, avec le choix "voulez vous désactiver : oui / non"
Salut,

L'extrait ci-dessous provient du lien : https://www.kb.cert.org/vuls/id/886582/
( Partie III "Solution" )


Note: The installer for Java 1.6.0_20 may not correctly update all instances of the Java Deployment Toolkit plugin. In some cases, the plugin that resides in the \bin\new_plugin directory may not be updated to the fixed 6.0.200.2 version of npdeployJava1.dll. If the new_plugin directory contains npdeploytk.dll version 6.0.190.4 or earlier, then browsers that use plug-ins, such as Mozilla Firefox or Google Chrome, may still be vulnerable. To correct this situation, delete the vulnerable npdeploytk.dll from the new_plugin directory and replace it with the npdeployJava1.dll version from the bin directory.


On peut en déduire qu'après maj de Java, quelques vérifs sont à effectuer pour lever le doute...

Pour faire rapide, la maj 1.6.0_20 remplace les instances de npdeploytk.dll par npdeployJava1.dll et place un kill bit pour la CLSID {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}, donc :

1/ Vérification de l'update de toutes les versions la dll incriminé:

Celon l'OS, aller à :

C:\Program Files\Java\jre6\bin\new_plugin
ou
C:\Programmes\Java\jre6\bin\new_plugin

- Si npdeploytk.dll est présent, l'update ne s'est pas effectuée correctement.
Dans ce cas, il faut supprimer npdeploytk.dll et la remplacer par la version updaté qui se trouve à :
C:\Programmes\Java\jre6\bin\npdeployJava1.dll
ou
C:\Program Files\Java\jre6\bin\npdeployJava1.dll

- Si npdeployJava1.dll version 6.0.200.2 est présent, l'update s'est déroulé correctement.


Ensuite, aller à :

C:\Program Files\Mozilla Firefox\plugins
ou
C:\Programmes\Mozilla Firefox\plugins

- Si npdeploytk.dll est présent, l'update ne s'est pas effectuée correctement.
Dans ce cas, il faut supprimer npdeploytk.dll et la remplacer par la version updaté qui se trouve à :
C:\Programmes\Java\jre6\bin\npdeployJava1.dll
ou
C:\Program Files\Java\jre6\bin\npdeployJava1.dll

- Si npdeployJava1.dll version 6.0.200.2 est présent, l'update s'est déroulé correctement.


Puis, aller à : C:\Windows\System32

- Si deploytk.dll est présent, l'update ne s'est pas effectuée correctement.
Dans ce cas, il faut supprimer C:\Windows\System32\deploytk.dll et la remplacer par la version updaté qui se trouve à :
C:\Programmes\Java\jre6\bin\npdeployJava1.dll
ou
C:\Program Files\Java\jre6\bin\npdeployJava1.dll

Renommez ensuite : C:\Windows\System32\npdeployJava1.dll >> deployJava1.dll

- Si deployJava1.dll version 6.0.200.2 est présent, l'update s'est déroulé correctement.



2/ Vérification du Bit d'arrêt dans le registre. (IE)

Ouvrir l'éditeur du registre :
Démarrer > Exécuter > regedit

Déployez la clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility

Si la maj s'est bien effectuée, la sous clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA} doit contenir une valeur "Compatibility Flags" avec pour donnée : "0x00000400 (1024)"

Dans le cas contraire, rectifiez de la manière proposé par Lyonnais92 :
https://forums.commentcamarche.net/forum/affich-17368464-faille-tres-critique-java-non-corrigee#13

Si les deux points de vérif sont corrects, le sploit sous la forme qui semble être exploité actuellement, ne sera pas exploitable, du moins pour ce qui est de la partie Java :-)

++
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
929
Autre petit up pour limiter les dégats :)
PS: Si d'autres peuvent passer dans la journée, ça serait sympa :)
Bonsoir,

@ Philippe :

C'est pour cette raison (soucis de désactivation du module) que j'ai posté ce lien de test :-).
Par contre ce n'est pas spécialement une question de version puisque chez moi j'ai rencontré exactement le même soucis, mais avec la 6.0.190.4 !

Solution provisoire :

- Fermer Firefox
- Renommer C:\Program Files\Mozilla Firefox\plugins\npdeploytk.dll
- Relancer le navigateur


Sinon concernant IE et cette faille bien précise, il existe une alternative au Kill bit.
IE > Options > Gérer les modules complémentaires > Désactiver "Deployment Toolkit" (en choisissant d'afficher tout les modules auparavant dans le menu déroulant.).

Quant au Kill bit, en complément de ce que disait Lyonnais et indépendamment de l'OS (Vista, Seven, XP), il semble que la clé concerné peut différer sur un OS X64 avec un IE X86.
Plus de détails ici :
https://docs.microsoft.com/en-us/archive/blogs/

Bonne continuation !
++
Bonsoir,

merci pour cette info complémentaire

A+Lusche Philippe
Messages postés
10509
Date d'inscription
lundi 10 octobre 2005
Statut
Contributeur sécurité
Dernière intervention
10 novembre 2021
599
Salut à tous,

Encore une fois merci à toi mOe pour ces détails qui nous permettent de vérifier si notre mise à jour vers la version 1.6.0_20 s'est correctement réalisée sur nos PC.

J'ai suivi tes conseils à la lettre; et pour moi, tout est OK.
C'est encourageant.

Merci mOe pour la clarté de tes explications.
Merci à jalobservateur d'avoir initié ce topic.
Amitiés.

Albert.
Messages postés
205
Date d'inscription
mercredi 1 avril 2009
Statut
Membre
Dernière intervention
21 décembre 2017
125
D'après la liste des modules complémentaires bloqués on trouve bien Java Deployment Toolkit.
Les versions concernées sont (même si la dernière version de Firefox est installée) celles antérieures à la 6.0.200.0.
(liste sur https : // www.mozilla.com / en-US / blocklist / ) (bug 558584)
J'ai la 6.0.190.4 donc je suis concerné.

bonsoir je comprends le contentement de Jal'......;)

et Bravo à Lyonnais pour son devouement
désolé....merci mOe aussi pour tes recherches ;)

sincerement , tu es un cerveau....
Messages postés
8187
Date d'inscription
vendredi 12 mai 2006
Statut
Contributeur sécurité
Dernière intervention
22 janvier 2014
1 564
Salut,

Un grand merci à tous les intervenants pour ces précisions.

Une information supplémentaire, pour les distraits Firefox désactive automatiquement le Plugin : Java Deployment Toolkit 6.0.190.4 avec la mention :"Désactivé pour votre protection" tout en renvoyant ici pour plus de détails : https://blocked.cdn.mozilla.net

Bon dimanche

@+
Messages postés
205
Date d'inscription
mercredi 1 avril 2009
Statut
Membre
Dernière intervention
21 décembre 2017
125
C'est vrai, il se désactive automatiquement, sans le savoir ; vous, comme moi, êtes surpris par cet avertissement.
J'aurais dû le dire avant !
(voir mon commentaire 75)

EDIT 20/04/2010 : Deuxième fois que cela m'arrive, il y a quelques minutes.
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
929
Salut l'ami ;)
Oui quand Firefox et la communauté est mise au parfum, la réactivité et les mesures correctives sont appréciables.
Vive le Libre :)
Bonjour,

Merci pour toutes ces solutions, Merci Moe pour les précisiosn et Merci Jalobservateur pour l'information

Bonne continuation

A+Lusche Philippe
Salut à tous,

De rien c'était vraiment avec plaisir !

Sinon je suis tout à fait d'accord avec glops sur l'inutilité de ce plug-in pour la majorité des internautes.
Ceci dit, vu qu'à chaque maj de Java il sera réactivé/réinstallé automatiquement, je sais pas non plus si les gens penseront à refaire systématiquement une désactivation/suppression...

Quoi qu'il en soit, cet épisode Java aura eu le mérite de mettre en évidence pourquoi il vaut mieux s'assurer d'une désinstallation "propre" de l'ancienne version avant l'install d'une maj :-)

Bonne continuation.
++

PS:

Merci Albert, content de te recroiser.
Amicalement.
les sujets pour communiquer des infos très importantes doivent tous être mis en post it temporairement le temps que les infos passent
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 330
Tout à fait d'accord
la dernière fois que j'ai lancé firefox sur mon PC Fixe, Firefox m'as affiché un message , genre :

" un module a été identifié comme pouvant être à l'origine de certains problèmes..."

avec le choix désactiver ' oui' ou 'non' ...

( Edit : "java tool kit... " )
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
929
De rien l'ami :)
Fox a réagit assez tôt aussi c'est bien, Vive le Libre :)

Merci pour l'info
Messages postés
8187
Date d'inscription
vendredi 12 mai 2006
Statut
Contributeur sécurité
Dernière intervention
22 janvier 2014
1 564
Salut Jal, ;-)

Merci bien pour cette info très importante.

@+
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 535
up

Merci. Contributeur du WEB.
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
929
Salut tous ;)
up!
Merci,

UP
Salut à tous

Voici un Pof pour tester la faille en live, le lien est non viral, il provoque juste l'exécution de la calculatrice.
Et surtout histoire de tester les solutions provisoires préconisées...

http://lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html

Bonne continuation.

++
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
929
+1 Moe super démo :) Simple et efficace , bravo !
Idem,

PS: Si d'autres peuvent passer dans la journée, ça serait sympa :)

No problémo
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 535
Bonjour,

après l'application des correctifs, le lien de moe donne ceci sur mon ordi (Xp Sp3)

- Firefox : des Plugins supplémentaires sont nécessaires

- IE8 : "terminé" sans que rien d'autre ne se produise.

===

Comme la manip sous IE est pas très drôle (j'ai un peu galéré pour y parvenir), le fix.reg de correction :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}]
"Compatibility Flags"=dword:00000400
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
929
Salut Vincent :)
Ouais je sais sous IE c'est moins évident en effet.
J'ai pas IE alors difficile de trouver comment faire plus simplement..
Fox c'est dans la poche
https://pix.louiz.org/1271245757.png
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 535
Re,

j'aurais pu être plus complet.

En autonome :

Ouvre le Bloc-Notes et copie les lignes ci-dessous

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}]
"Compatibility Flags"=dword:00000400


Enregistre le fichier sur ton Bureau sous le nom fix.reg (attention, l'extension reg est nécessaire).

Double clic sur le fichier fix.reg sur ton Bureau.

Acceptes l'avertissement concernant la fusion

Le fix va travailler sans se manifester.

A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.

Pour vérifier, ouvre ce lien (sous Internet Explorer) :

http://lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html

Si rien ne se passe, tu es protégé de cette faille.

Si la calculatrice s'exécute, le fix n'a pas fonctionné.


===

Les helpers adapteront pour une utilisation avec un script d'un outil de désinfection.


Utilisateur anonyme
Salut,

En gros ton astuce c'est pour éviter/corriger la failles ?
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 330
Avast5 détecte immediatement la menace en cliquant sur le lien
http://lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
yop,

Avast est devenu parano ! ... :))))

parcontre AntiVir n'as pas tiqué du tout ... :(