Faille très critique Java, non corrigée...
Résolu
jalobservateur
Messages postés
7372
Date d'inscription
Statut
Contributeur sécurité
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Avis aux utilisateur de Windows, toutes éditions.
Une faille importante vient juste d'être découverte dans Java et non corrigée pour le moment...
Le fait de désactiver le Java-script ne protège pas contre l'exploitation de cette vulnérabilité.
Actuellement sans information claire de la part de Sun sur la correction de cette faille, il est conseillé à l'utilisateur de modifier manuellement ses configurations logicielles.
Pour les deux navigateurs suivants, les manipulations ci-dessous permettent de limiter les risques:
-------------------------------------------------------------------------------------
1: Pour Firefox: Vérifiez si vous avez dans vos plugins ceci:
Java Deployment Toolkit .
Si tel est le cas, ouvrez le menu Outils et choisissez 'Modules complémentaires'.
Dans l'onglet Plugins sélectionnez Java Deployment Toolkit et cliquez sur Désactiver.
---------------
2: Pour Internet Explorer, il est nécessaire de placer un 'Bit d'arrêt' pour l'ActiveX suivant: ''Classe ID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA''. Ici un tuto sur la façon dont réaliser cette manipulation: https://support.microsoft.com/en-us/topic/out-of-date-activex-controls-3ad33b2d-1cee-5d46-1234-e70714324850
Moins freindly user comme manipulations, mais essentielles.
@+
----------
Explication de la menace : La méthode d'attaque permet d'exécuter du code arbitraire à l'exécution du lanceur web Java. Donc par la suite exécuter avec permissions administratives, des gestes graves et prise de contrôle des machines ciblées.
-------------------
Infos supplémentaires:Java Deployment Toolkit est installé automatiquement avec le Java Runtime Environment depuis la version 6 (release 10) dans les navigateurs Internet comme Microsoft Internet Explorer, Mozilla Firefox ou Google Chrome.
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Une faille importante vient juste d'être découverte dans Java et non corrigée pour le moment...
Le fait de désactiver le Java-script ne protège pas contre l'exploitation de cette vulnérabilité.
Actuellement sans information claire de la part de Sun sur la correction de cette faille, il est conseillé à l'utilisateur de modifier manuellement ses configurations logicielles.
Pour les deux navigateurs suivants, les manipulations ci-dessous permettent de limiter les risques:
-------------------------------------------------------------------------------------
1: Pour Firefox: Vérifiez si vous avez dans vos plugins ceci:
Java Deployment Toolkit .
Si tel est le cas, ouvrez le menu Outils et choisissez 'Modules complémentaires'.
Dans l'onglet Plugins sélectionnez Java Deployment Toolkit et cliquez sur Désactiver.
---------------
2: Pour Internet Explorer, il est nécessaire de placer un 'Bit d'arrêt' pour l'ActiveX suivant: ''Classe ID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA''. Ici un tuto sur la façon dont réaliser cette manipulation: https://support.microsoft.com/en-us/topic/out-of-date-activex-controls-3ad33b2d-1cee-5d46-1234-e70714324850
Moins freindly user comme manipulations, mais essentielles.
@+
----------
Explication de la menace : La méthode d'attaque permet d'exécuter du code arbitraire à l'exécution du lanceur web Java. Donc par la suite exécuter avec permissions administratives, des gestes graves et prise de contrôle des machines ciblées.
-------------------
Infos supplémentaires:Java Deployment Toolkit est installé automatiquement avec le Java Runtime Environment depuis la version 6 (release 10) dans les navigateurs Internet comme Microsoft Internet Explorer, Mozilla Firefox ou Google Chrome.
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
A voir également:
- Faille très critique Java, non corrigée...
- Waptrick java football - Télécharger - Jeux vidéo
- Jeux java itel - Télécharger - Jeux vidéo
- Eclipse java - Télécharger - Langages
- Java apk - Télécharger - Langages
- Waptrick java voiture - Télécharger - Jeux vidéo
167 réponses
je viens a l'instant d'avoir une MÂJ de firefox, qui m'as activement désactivé les les module de java afin de protéger mon pc ;-)
merci tonton jalobservateur d'avoir fait du bruit ;-)
tu as était entendu !!!
merci tonton jalobservateur d'avoir fait du bruit ;-)
tu as était entendu !!!
Salut,
L'extrait ci-dessous provient du lien : https://www.kb.cert.org/vuls/id/886582/
( Partie III "Solution" )
Note: The installer for Java 1.6.0_20 may not correctly update all instances of the Java Deployment Toolkit plugin. In some cases, the plugin that resides in the \bin\new_plugin directory may not be updated to the fixed 6.0.200.2 version of npdeployJava1.dll. If the new_plugin directory contains npdeploytk.dll version 6.0.190.4 or earlier, then browsers that use plug-ins, such as Mozilla Firefox or Google Chrome, may still be vulnerable. To correct this situation, delete the vulnerable npdeploytk.dll from the new_plugin directory and replace it with the npdeployJava1.dll version from the bin directory.
On peut en déduire qu'après maj de Java, quelques vérifs sont à effectuer pour lever le doute...
Pour faire rapide, la maj 1.6.0_20 remplace les instances de npdeploytk.dll par npdeployJava1.dll et place un kill bit pour la CLSID {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}, donc :
1/ Vérification de l'update de toutes les versions la dll incriminé:
Celon l'OS, aller à :
C:\Program Files\Java\jre6\bin\new_plugin
ou
C:\Programmes\Java\jre6\bin\new_plugin
- Si npdeploytk.dll est présent, l'update ne s'est pas effectuée correctement.
Dans ce cas, il faut supprimer npdeploytk.dll et la remplacer par la version updaté qui se trouve à :
C:\Programmes\Java\jre6\bin\npdeployJava1.dll
ou
C:\Program Files\Java\jre6\bin\npdeployJava1.dll
- Si npdeployJava1.dll version 6.0.200.2 est présent, l'update s'est déroulé correctement.
Ensuite, aller à :
C:\Program Files\Mozilla Firefox\plugins
ou
C:\Programmes\Mozilla Firefox\plugins
- Si npdeploytk.dll est présent, l'update ne s'est pas effectuée correctement.
Dans ce cas, il faut supprimer npdeploytk.dll et la remplacer par la version updaté qui se trouve à :
C:\Programmes\Java\jre6\bin\npdeployJava1.dll
ou
C:\Program Files\Java\jre6\bin\npdeployJava1.dll
- Si npdeployJava1.dll version 6.0.200.2 est présent, l'update s'est déroulé correctement.
Puis, aller à : C:\Windows\System32
- Si deploytk.dll est présent, l'update ne s'est pas effectuée correctement.
Dans ce cas, il faut supprimer C:\Windows\System32\deploytk.dll et la remplacer par la version updaté qui se trouve à :
C:\Programmes\Java\jre6\bin\npdeployJava1.dll
ou
C:\Program Files\Java\jre6\bin\npdeployJava1.dll
Renommez ensuite : C:\Windows\System32\npdeployJava1.dll >> deployJava1.dll
- Si deployJava1.dll version 6.0.200.2 est présent, l'update s'est déroulé correctement.
2/ Vérification du Bit d'arrêt dans le registre. (IE)
Ouvrir l'éditeur du registre :
Démarrer > Exécuter > regedit
Déployez la clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility
Si la maj s'est bien effectuée, la sous clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA} doit contenir une valeur "Compatibility Flags" avec pour donnée : "0x00000400 (1024)"
Dans le cas contraire, rectifiez de la manière proposé par Lyonnais92 :
https://forums.commentcamarche.net/forum/affich-17368464-faille-tres-critique-java-non-corrigee#13
Si les deux points de vérif sont corrects, le sploit sous la forme qui semble être exploité actuellement, ne sera pas exploitable, du moins pour ce qui est de la partie Java :-)
++
L'extrait ci-dessous provient du lien : https://www.kb.cert.org/vuls/id/886582/
( Partie III "Solution" )
Note: The installer for Java 1.6.0_20 may not correctly update all instances of the Java Deployment Toolkit plugin. In some cases, the plugin that resides in the \bin\new_plugin directory may not be updated to the fixed 6.0.200.2 version of npdeployJava1.dll. If the new_plugin directory contains npdeploytk.dll version 6.0.190.4 or earlier, then browsers that use plug-ins, such as Mozilla Firefox or Google Chrome, may still be vulnerable. To correct this situation, delete the vulnerable npdeploytk.dll from the new_plugin directory and replace it with the npdeployJava1.dll version from the bin directory.
On peut en déduire qu'après maj de Java, quelques vérifs sont à effectuer pour lever le doute...
Pour faire rapide, la maj 1.6.0_20 remplace les instances de npdeploytk.dll par npdeployJava1.dll et place un kill bit pour la CLSID {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}, donc :
1/ Vérification de l'update de toutes les versions la dll incriminé:
Celon l'OS, aller à :
C:\Program Files\Java\jre6\bin\new_plugin
ou
C:\Programmes\Java\jre6\bin\new_plugin
- Si npdeploytk.dll est présent, l'update ne s'est pas effectuée correctement.
Dans ce cas, il faut supprimer npdeploytk.dll et la remplacer par la version updaté qui se trouve à :
C:\Programmes\Java\jre6\bin\npdeployJava1.dll
ou
C:\Program Files\Java\jre6\bin\npdeployJava1.dll
- Si npdeployJava1.dll version 6.0.200.2 est présent, l'update s'est déroulé correctement.
Ensuite, aller à :
C:\Program Files\Mozilla Firefox\plugins
ou
C:\Programmes\Mozilla Firefox\plugins
- Si npdeploytk.dll est présent, l'update ne s'est pas effectuée correctement.
Dans ce cas, il faut supprimer npdeploytk.dll et la remplacer par la version updaté qui se trouve à :
C:\Programmes\Java\jre6\bin\npdeployJava1.dll
ou
C:\Program Files\Java\jre6\bin\npdeployJava1.dll
- Si npdeployJava1.dll version 6.0.200.2 est présent, l'update s'est déroulé correctement.
Puis, aller à : C:\Windows\System32
- Si deploytk.dll est présent, l'update ne s'est pas effectuée correctement.
Dans ce cas, il faut supprimer C:\Windows\System32\deploytk.dll et la remplacer par la version updaté qui se trouve à :
C:\Programmes\Java\jre6\bin\npdeployJava1.dll
ou
C:\Program Files\Java\jre6\bin\npdeployJava1.dll
Renommez ensuite : C:\Windows\System32\npdeployJava1.dll >> deployJava1.dll
- Si deployJava1.dll version 6.0.200.2 est présent, l'update s'est déroulé correctement.
2/ Vérification du Bit d'arrêt dans le registre. (IE)
Ouvrir l'éditeur du registre :
Démarrer > Exécuter > regedit
Déployez la clé :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility
Si la maj s'est bien effectuée, la sous clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA} doit contenir une valeur "Compatibility Flags" avec pour donnée : "0x00000400 (1024)"
Dans le cas contraire, rectifiez de la manière proposé par Lyonnais92 :
https://forums.commentcamarche.net/forum/affich-17368464-faille-tres-critique-java-non-corrigee#13
Si les deux points de vérif sont corrects, le sploit sous la forme qui semble être exploité actuellement, ne sera pas exploitable, du moins pour ce qui est de la partie Java :-)
++
Autre petit up pour limiter les dégats :)
PS: Si d'autres peuvent passer dans la journée, ça serait sympa :)
PS: Si d'autres peuvent passer dans la journée, ça serait sympa :)
Bonsoir,
@ Philippe :
C'est pour cette raison (soucis de désactivation du module) que j'ai posté ce lien de test :-).
Par contre ce n'est pas spécialement une question de version puisque chez moi j'ai rencontré exactement le même soucis, mais avec la 6.0.190.4 !
Solution provisoire :
- Fermer Firefox
- Renommer C:\Program Files\Mozilla Firefox\plugins\npdeploytk.dll
- Relancer le navigateur
Sinon concernant IE et cette faille bien précise, il existe une alternative au Kill bit.
IE > Options > Gérer les modules complémentaires > Désactiver "Deployment Toolkit" (en choisissant d'afficher tout les modules auparavant dans le menu déroulant.).
Quant au Kill bit, en complément de ce que disait Lyonnais et indépendamment de l'OS (Vista, Seven, XP), il semble que la clé concerné peut différer sur un OS X64 avec un IE X86.
Plus de détails ici :
https://docs.microsoft.com/en-us/archive/blogs/
Bonne continuation !
++
@ Philippe :
C'est pour cette raison (soucis de désactivation du module) que j'ai posté ce lien de test :-).
Par contre ce n'est pas spécialement une question de version puisque chez moi j'ai rencontré exactement le même soucis, mais avec la 6.0.190.4 !
Solution provisoire :
- Fermer Firefox
- Renommer C:\Program Files\Mozilla Firefox\plugins\npdeploytk.dll
- Relancer le navigateur
Sinon concernant IE et cette faille bien précise, il existe une alternative au Kill bit.
IE > Options > Gérer les modules complémentaires > Désactiver "Deployment Toolkit" (en choisissant d'afficher tout les modules auparavant dans le menu déroulant.).
Quant au Kill bit, en complément de ce que disait Lyonnais et indépendamment de l'OS (Vista, Seven, XP), il semble que la clé concerné peut différer sur un OS X64 avec un IE X86.
Plus de détails ici :
https://docs.microsoft.com/en-us/archive/blogs/
Bonne continuation !
++
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut à tous,
Encore une fois merci à toi mOe pour ces détails qui nous permettent de vérifier si notre mise à jour vers la version 1.6.0_20 s'est correctement réalisée sur nos PC.
J'ai suivi tes conseils à la lettre; et pour moi, tout est OK.
C'est encourageant.
Merci mOe pour la clarté de tes explications.
Merci à jalobservateur d'avoir initié ce topic.
Amitiés.
Albert.
Encore une fois merci à toi mOe pour ces détails qui nous permettent de vérifier si notre mise à jour vers la version 1.6.0_20 s'est correctement réalisée sur nos PC.
J'ai suivi tes conseils à la lettre; et pour moi, tout est OK.
C'est encourageant.
Merci mOe pour la clarté de tes explications.
Merci à jalobservateur d'avoir initié ce topic.
Amitiés.
Albert.
D'après la liste des modules complémentaires bloqués on trouve bien Java Deployment Toolkit.
Les versions concernées sont (même si la dernière version de Firefox est installée) celles antérieures à la 6.0.200.0.
(liste sur https : // www.mozilla.com / en-US / blocklist / ) (bug 558584)
J'ai la 6.0.190.4 donc je suis concerné.
Les versions concernées sont (même si la dernière version de Firefox est installée) celles antérieures à la 6.0.200.0.
(liste sur https : // www.mozilla.com / en-US / blocklist / ) (bug 558584)
J'ai la 6.0.190.4 donc je suis concerné.
Salut,
Un grand merci à tous les intervenants pour ces précisions.
Une information supplémentaire, pour les distraits Firefox désactive automatiquement le Plugin : Java Deployment Toolkit 6.0.190.4 avec la mention :"Désactivé pour votre protection" tout en renvoyant ici pour plus de détails : https://blocked.cdn.mozilla.net
Bon dimanche
@+
Un grand merci à tous les intervenants pour ces précisions.
Une information supplémentaire, pour les distraits Firefox désactive automatiquement le Plugin : Java Deployment Toolkit 6.0.190.4 avec la mention :"Désactivé pour votre protection" tout en renvoyant ici pour plus de détails : https://blocked.cdn.mozilla.net
Bon dimanche
@+
Salut l'ami ;)
Oui quand Firefox et la communauté est mise au parfum, la réactivité et les mesures correctives sont appréciables.
Vive le Libre :)
Oui quand Firefox et la communauté est mise au parfum, la réactivité et les mesures correctives sont appréciables.
Vive le Libre :)
Salut à tous,
De rien c'était vraiment avec plaisir !
Sinon je suis tout à fait d'accord avec glops sur l'inutilité de ce plug-in pour la majorité des internautes.
Ceci dit, vu qu'à chaque maj de Java il sera réactivé/réinstallé automatiquement, je sais pas non plus si les gens penseront à refaire systématiquement une désactivation/suppression...
Quoi qu'il en soit, cet épisode Java aura eu le mérite de mettre en évidence pourquoi il vaut mieux s'assurer d'une désinstallation "propre" de l'ancienne version avant l'install d'une maj :-)
Bonne continuation.
++
PS:
Merci Albert, content de te recroiser.
Amicalement.
De rien c'était vraiment avec plaisir !
Sinon je suis tout à fait d'accord avec glops sur l'inutilité de ce plug-in pour la majorité des internautes.
Ceci dit, vu qu'à chaque maj de Java il sera réactivé/réinstallé automatiquement, je sais pas non plus si les gens penseront à refaire systématiquement une désactivation/suppression...
Quoi qu'il en soit, cet épisode Java aura eu le mérite de mettre en évidence pourquoi il vaut mieux s'assurer d'une désinstallation "propre" de l'ancienne version avant l'install d'une maj :-)
Bonne continuation.
++
PS:
Merci Albert, content de te recroiser.
Amicalement.
les sujets pour communiquer des infos très importantes doivent tous être mis en post it temporairement le temps que les infos passent
la dernière fois que j'ai lancé firefox sur mon PC Fixe, Firefox m'as affiché un message , genre :
" un module a été identifié comme pouvant être à l'origine de certains problèmes..."
avec le choix désactiver ' oui' ou 'non' ...
( Edit : "java tool kit... " )
" un module a été identifié comme pouvant être à l'origine de certains problèmes..."
avec le choix désactiver ' oui' ou 'non' ...
( Edit : "java tool kit... " )
Salut à tous
Voici un Pof pour tester la faille en live, le lien est non viral, il provoque juste l'exécution de la calculatrice.
Et surtout histoire de tester les solutions provisoires préconisées...
http://lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html
Bonne continuation.
++
Voici un Pof pour tester la faille en live, le lien est non viral, il provoque juste l'exécution de la calculatrice.
Et surtout histoire de tester les solutions provisoires préconisées...
http://lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html
Bonne continuation.
++
Bonjour,
après l'application des correctifs, le lien de moe donne ceci sur mon ordi (Xp Sp3)
- Firefox : des Plugins supplémentaires sont nécessaires
- IE8 : "terminé" sans que rien d'autre ne se produise.
===
Comme la manip sous IE est pas très drôle (j'ai un peu galéré pour y parvenir), le fix.reg de correction :
après l'application des correctifs, le lien de moe donne ceci sur mon ordi (Xp Sp3)
- Firefox : des Plugins supplémentaires sont nécessaires
- IE8 : "terminé" sans que rien d'autre ne se produise.
===
Comme la manip sous IE est pas très drôle (j'ai un peu galéré pour y parvenir), le fix.reg de correction :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}]
"Compatibility Flags"=dword:00000400
Salut Vincent :)
Ouais je sais sous IE c'est moins évident en effet.
J'ai pas IE alors difficile de trouver comment faire plus simplement..
Fox c'est dans la poche
https://pix.louiz.org/1271245757.png
Ouais je sais sous IE c'est moins évident en effet.
J'ai pas IE alors difficile de trouver comment faire plus simplement..
Fox c'est dans la poche
https://pix.louiz.org/1271245757.png
Re,
j'aurais pu être plus complet.
En autonome :
Ouvre le Bloc-Notes et copie les lignes ci-dessous
Enregistre le fichier sur ton Bureau sous le nom fix.reg (attention, l'extension reg est nécessaire).
Double clic sur le fichier fix.reg sur ton Bureau.
Acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.
Pour vérifier, ouvre ce lien (sous Internet Explorer) :
http://lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html
Si rien ne se passe, tu es protégé de cette faille.
Si la calculatrice s'exécute, le fix n'a pas fonctionné.
===
Les helpers adapteront pour une utilisation avec un script d'un outil de désinfection.
j'aurais pu être plus complet.
En autonome :
Ouvre le Bloc-Notes et copie les lignes ci-dessous
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}]
"Compatibility Flags"=dword:00000400
Enregistre le fichier sur ton Bureau sous le nom fix.reg (attention, l'extension reg est nécessaire).
Double clic sur le fichier fix.reg sur ton Bureau.
Acceptes l'avertissement concernant la fusion
Le fix va travailler sans se manifester.
A la fin, tu vas voir un message disant que la fusion est terminée. Tu valides.
Pour vérifier, ouvre ce lien (sous Internet Explorer) :
http://lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html
Si rien ne se passe, tu es protégé de cette faille.
Si la calculatrice s'exécute, le fix n'a pas fonctionné.
===
Les helpers adapteront pour une utilisation avec un script d'un outil de désinfection.
Signalé aussi ici