Faille très critique Java, non corrigée...

Résolu/Fermé

jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 - Modifié par jalobservateur le 14/04/2010 à 03:01
Utilisateur anonyme - 22 mai 2010 à 00:37

Avis aux utilisateur de Windows, toutes éditions.
Une faille importante vient juste d'être découverte dans Java et non corrigée pour le moment...

Le fait de désactiver le Java-script ne protège pas contre l'exploitation de cette vulnérabilité.
Actuellement sans information claire de la part de Sun sur la correction de cette faille, il est conseillé à l'utilisateur de modifier manuellement ses configurations logicielles.
Pour les deux navigateurs suivants, les manipulations ci-dessous permettent de limiter les risques:
-------------------------------------------------------------------------------------
1: Pour Firefox: Vérifiez si vous avez dans vos plugins ceci:
Java Deployment Toolkit .
Si tel est le cas, ouvrez le menu Outils et choisissez 'Modules complémentaires'.
Dans l'onglet Plugins sélectionnez Java Deployment Toolkit et cliquez sur Désactiver.
---------------
2: Pour Internet Explorer, il est nécessaire de placer un 'Bit d'arrêt' pour l'ActiveX suivant: ''Classe ID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA''. Ici un tuto sur la façon dont réaliser cette manipulation: https://support.microsoft.com/en-us/topic/out-of-date-activex-controls-3ad33b2d-1cee-5d46-1234-e70714324850
Moins freindly user comme manipulations, mais essentielles.
@+
----------
Explication de la menace : La méthode d'attaque permet d'exécuter du code arbitraire à l'exécution du lanceur web Java. Donc par la suite exécuter avec permissions administratives, des gestes graves et prise de contrôle des machines ciblées.
-------------------
Infos supplémentaires:Java Deployment Toolkit est installé automatiquement avec le Java Runtime Environment depuis la version 6 (release 10) dans les navigateurs Internet comme Microsoft Internet Explorer, Mozilla Firefox ou Google Chrome.

Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...

A voir également:

Faille très critique Java, non corrigée...
Waptrick java football - Télécharger - Jeux vidéo
Java apk - Télécharger - Langages
Jeux java itel football - Télécharger - Jeux vidéo
Java jre - Télécharger - Langages
Jeux java itel 5360 ✓ - Forum Mobile

167 réponses

Réponse 41 / 167

Utilisateur anonyme
Modifié par nathandre le 15/04/2010 à 15:27

Bonjour à tous,
Je n'ai toujours pas osé fusionner le fichier avec le registre, car je crains
avoir un message d'erreur après, et le registre, c'est délicat

Réponse 42 / 167

jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
15 avril 2010 à 15:29

Salut,
Non y a pas de raison et en plus c'est réversible.
Mais étant donné que Sun vient de combler la faille, la _20 en l'installant et la _19 en la supprimant, t'évitent de faire la manip. :)

Réponse 43 / 167

Utilisateur anonyme
Modifié par nathandre le 15/04/2010 à 16:01

la faille vient d'être corrigée, une dernière version de java vient de sortir
c'est 6 Update 20 que je viens dinstaller
Cette faille était très dangereuse

Réponse 44 / 167

Utilisateur anonyme
16 avril 2010 à 13:56

petit Up !

Pensez à mettre à jour ;)

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 45 / 167

jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
16 avril 2010 à 14:05

Avec un peu de retard... Je viens justement de recevoir via Secuser :)
------------------
S E C U S E R S E C U R I T E 15/04/10
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mise à jour critique pour Java
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

RESUME DE L'ALERTE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Deux défauts de sécurité ont été identifiés dans Java, un logiciel gratuit
qui permet aux navigateurs web d'exécuter les applications du même nom.
Leur exploitation permet à un individu malveillant ou à un virus d'exécuter
du code malicieux sur l'ordinateur de sa victime à l'ouverture d'une page
web piégée. Ces failles sont déjà utilisées à des fins malveillantes.
http://www.secuser.com/vulnerabilite/2010/100412-java.htm

SOLUTION DISPONIBLE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Si ce logiciel est installé sur votre ordinateur, vous devez appliquer le
correctif disponible afin de prévenir toute exploitation malveillante (un
test simple permet aux utilisateurs de savoir si ce logiciel est présent) :
http://www.secuser.com/vulnerabilite/2010/100412-java.htm

Réponse 46 / 167

jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
16 avril 2010 à 19:22

Autre petit UP!
Mettez à jour et supprimez les vieux Java.

tabltrai Messages postés 205 Date d'inscription mercredi 1 avril 2009 Statut Membre Dernière intervention 21 décembre 2017 125
17 avril 2010 à 22:08

Il faut bien supprimer toutes les anciennes versions de Java, ce sont bien les extensions Java Console?

Réponse 47 / 167

glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
16 avril 2010 à 20:40

entièrement corrigée ou pas?

https://www.generation-nt.com/java-environnement-faille-securite-windows-actualite-996391.html
https://www.generation-nt.com/java-faille-plugin-navigateur-update-20-jre-actualite-998341.html

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-005/index.html

Réponse 48 / 167

jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
16 avril 2010 à 20:47

Salut Glops :)
Ouais travail bâclé il semble bien .......
Citation
Selon The H Security, il semble que les composants vulnérables ne sont plus chargés dans le navigateur, et la vulnérabilité aurait donc été corrigée. Petit bémol toutefois puisque la mise à jour de Java ne permet apparemment pas de contrecarrer l'exploit dans tous les cas.

Réponse 49 / 167

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 16/04/2010 à 21:16

Tu as raison Jal cela ressemble bien a du travail baclé de derniers recours. Maintenant il faudrait aussi être sûr des sources de H Security, car je vois mal Oracle se permettre cela, mais... on ne sait jamais

"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Réponse 50 / 167

jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
16 avril 2010 à 21:11

Salut :)
Ouais, mais tu sais comme moi que le simple fait que Java n'est pas prévu dès le début, une suppression des vieux javas exploitables qui fourmillent sur les machines, alors, en effet ceci n'est pas signé de l'infaillibilité.:)
Mais... Si on se met dans les chaussures de ces derniers, il est entendu qu'il est préférable de ne pas trop annoncer que le dit patch est une sorte de diachilon 'temporaire'.
De toutes façons, il n'est pas vraiment de mise, jusqu'à preuve de la solidité de la chose, que de réactiver sur le (les) navigateurs le bidule, en question...
Donc attendre est plus prudent.

Réponse 51 / 167

Utilisateur anonyme
17 avril 2010 à 21:31

Bonsoir
Pour moi, tout est OK aussi, j'ai tout vérifié
Merci à mOe

Réponse 52 / 167

jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
17 avril 2010 à 21:36

Super ! :)

Réponse 53 / 167

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
17 avril 2010 à 22:02

Egalement merci mOe pour cette procédure. J'ai vérifié et tout est OK

Réponse 54 / 167

Utilisateur anonyme
17 avril 2010 à 22:35

Ok Moe,
Merci pour tout.....

Pour moi après verif c'est ok (Depuis l'aide de Lyonnais et du coup de patte de SKE) sous vista...( Vraiment merci à eux)

Par contre , je pense que tu vas nous conccoter ,un test genre "calculette" ou autre.. dans peu de temps......

Quoi qu'il en soit merci ......

a+

Réponse 55 / 167

kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
18 avril 2010 à 01:27

Bonsoir

Merci à moe pour ces explications utiles et détaillés.

Chez moi seul le fichier ici était à changer C:\Program Files\Java\jre6\bin\new_plugin , le reste était OK

Bonne soirée

Réponse 56 / 167

glops Messages postés 1850 Date d'inscription mardi 4 décembre 2007 Statut Membre Dernière intervention 26 mai 2012 150
18 avril 2010 à 01:59

beau boulot oui,merci

Par ailleurs,l'internaute "lambda" n'a pas ,mais alors pas du tout, besoin du java deployment toolkit ;-): https://www.oracle.com/java/technologies/#DT (il est utile seulement aux développeurs, donc un très petit pourcentage des utilisateurs de Java...)

on peut donc aussi le désactiver et même le shooter comme ceci:

Pour cela, supprimer les fichiers suivants (3 fois le même à 3 endroits différents!):
C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll
C:\Program Files\Java\jre6\bin\npdeployJava1.dll
C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll

pour connaitre les dll des modules complémentaires firefox tapez about:plugins dans la barre d'adresse => faire ensuite une recherche sur les noms des dll pour savoir où elles se trouvent

Réponse 57 / 167

jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
18 avril 2010 à 02:03

Salut glpos :)
Oui et c'est justement pourquoi j'indiquais de désactiver le bidule, car en effet, les développeurs, eux connaissent bien l'utilité de ce plugin, alors sur les indications des posts ainsi détaillées, tous en ont pour leur besoin.
C'est super cette collaboration ici ;)

Réponse 58 / 167

Utilisateur anonyme
18 avril 2010 à 02:19

ben tu vois Jal' que le monde n'est pas pourri partout ^^

ok je sors ^^

Réponse 59 / 167

jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
20 avril 2010 à 04:42

Autre Petit Up :)

Réponse 60 / 167

Utilisateur anonyme
20 avril 2010 à 06:52

et encore un ^^

Discussions similaires

TELECHARGER DES JEUX JAVA

telecharger des jeux java

telecharger bible louis second java pour itel

A java exception has occurred minecraft

Où télécharger des jeux java gratuits ?

Discussions similaires

Newsletters