Faille très critique Java, non corrigée...

Résolu/Fermé
Signaler
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
-
 Utilisateur anonyme -
Avis aux utilisateur de Windows, toutes éditions.
Une faille importante vient juste d'être découverte dans Java et non corrigée pour le moment...

Le fait de désactiver le Java-script ne protège pas contre l'exploitation de cette vulnérabilité.
Actuellement sans information claire de la part de Sun sur la correction de cette faille, il est conseillé à l'utilisateur de modifier manuellement ses configurations logicielles.
Pour les deux navigateurs suivants, les manipulations ci-dessous permettent de limiter les risques:
-------------------------------------------------------------------------------------
1: Pour Firefox: Vérifiez si vous avez dans vos plugins ceci:
Java Deployment Toolkit .
Si tel est le cas, ouvrez le menu Outils et choisissez 'Modules complémentaires'.
Dans l'onglet Plugins sélectionnez Java Deployment Toolkit et cliquez sur Désactiver.
---------------
2: Pour Internet Explorer, il est nécessaire de placer un 'Bit d'arrêt' pour l'ActiveX suivant: ''Classe ID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA''. Ici un tuto sur la façon dont réaliser cette manipulation: https://support.microsoft.com/en-us/topic/out-of-date-activex-controls-3ad33b2d-1cee-5d46-1234-e70714324850
Moins freindly user comme manipulations, mais essentielles.
@+
----------
Explication de la menace : La méthode d'attaque permet d'exécuter du code arbitraire à l'exécution du lanceur web Java. Donc par la suite exécuter avec permissions administratives, des gestes graves et prise de contrôle des machines ciblées.
-------------------
Infos supplémentaires:Java Deployment Toolkit est installé automatiquement avec le Java Runtime Environment depuis la version 6 (release 10) dans les navigateurs Internet comme Microsoft Internet Explorer, Mozilla Firefox ou Google Chrome.

Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...

167 réponses

Bonjour à tous,
Je n'ai toujours pas osé fusionner le fichier avec le registre, car je crains
avoir un message d'erreur après, et le registre, c'est délicat
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
929
Salut,
Non y a pas de raison et en plus c'est réversible.
Mais étant donné que Sun vient de combler la faille, la _20 en l'installant et la _19 en la supprimant, t'évitent de faire la manip. :)
la faille vient d'être corrigée, une dernière version de java vient de sortir
c'est 6 Update 20 que je viens dinstaller
Cette faille était très dangereuse

petit Up !

Pensez à mettre à jour ;)
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
929
Avec un peu de retard... Je viens justement de recevoir via Secuser :)
------------------
S E C U S E R S E C U R I T E 15/04/10
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mise à jour critique pour Java
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


RESUME DE L'ALERTE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Deux défauts de sécurité ont été identifiés dans Java, un logiciel gratuit
qui permet aux navigateurs web d'exécuter les applications du même nom.
Leur exploitation permet à un individu malveillant ou à un virus d'exécuter
du code malicieux sur l'ordinateur de sa victime à l'ouverture d'une page
web piégée. Ces failles sont déjà utilisées à des fins malveillantes.
http://www.secuser.com/vulnerabilite/2010/100412-java.htm




SOLUTION DISPONIBLE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Si ce logiciel est installé sur votre ordinateur, vous devez appliquer le
correctif disponible afin de prévenir toute exploitation malveillante (un
test simple permet aux utilisateurs de savoir si ce logiciel est présent) :
http://www.secuser.com/vulnerabilite/2010/100412-java.htm



Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
929
Autre petit UP!
Mettez à jour et supprimez les vieux Java.
Messages postés
205
Date d'inscription
mercredi 1 avril 2009
Statut
Membre
Dernière intervention
21 décembre 2017
125
Il faut bien supprimer toutes les anciennes versions de Java, ce sont bien les extensions Java Console?
Messages postés
1850
Date d'inscription
mardi 4 décembre 2007
Statut
Membre
Dernière intervention
26 mai 2012
150
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
929
Salut Glops :)
Ouais travail bâclé il semble bien .......
Citation
Selon The H Security, il semble que les composants vulnérables ne sont plus chargés dans le navigateur, et la vulnérabilité aurait donc été corrigée. Petit bémol toutefois puisque la mise à jour de Java ne permet apparemment pas de contrecarrer l'exploit dans tous les cas.
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 330
Tu as raison Jal cela ressemble bien a du travail baclé de derniers recours. Maintenant il faudrait aussi être sûr des sources de H Security, car je vois mal Oracle se permettre cela, mais... on ne sait jamais

"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
929
Salut :)
Ouais, mais tu sais comme moi que le simple fait que Java n'est pas prévu dès le début, une suppression des vieux javas exploitables qui fourmillent sur les machines, alors, en effet ceci n'est pas signé de l'infaillibilité.:)
Mais... Si on se met dans les chaussures de ces derniers, il est entendu qu'il est préférable de ne pas trop annoncer que le dit patch est une sorte de diachilon 'temporaire'.
De toutes façons, il n'est pas vraiment de mise, jusqu'à preuve de la solidité de la chose, que de réactiver sur le (les) navigateurs le bidule, en question...
Donc attendre est plus prudent.

Bonsoir
Pour moi, tout est OK aussi, j'ai tout vérifié
Merci à mOe
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
929
Super ! :)
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 330
Egalement merci mOe pour cette procédure. J'ai vérifié et tout est OK

Ok Moe,
Merci pour tout.....

Pour moi après verif c'est ok (Depuis l'aide de Lyonnais et du coup de patte de SKE) sous vista...( Vraiment merci à eux)

Par contre , je pense que tu vas nous conccoter ,un test genre "calculette" ou autre.. dans peu de temps......

Quoi qu'il en soit merci ......

a+
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 025
Bonsoir

Merci à moe pour ces explications utiles et détaillés.

Chez moi seul le fichier ici était à changer C:\Program Files\Java\jre6\bin\new_plugin , le reste était OK

Bonne soirée
Messages postés
1850
Date d'inscription
mardi 4 décembre 2007
Statut
Membre
Dernière intervention
26 mai 2012
150
beau boulot oui,merci

Par ailleurs,l'internaute "lambda" n'a pas ,mais alors pas du tout, besoin du java deployment toolkit ;-): https://www.oracle.com/java/technologies/#DT (il est utile seulement aux développeurs, donc un très petit pourcentage des utilisateurs de Java...)

on peut donc aussi le désactiver et même le shooter comme ceci:

Pour cela, supprimer les fichiers suivants (3 fois le même à 3 endroits différents!):
C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll
C:\Program Files\Java\jre6\bin\npdeployJava1.dll
C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll

pour connaitre les dll des modules complémentaires firefox tapez about:plugins dans la barre d'adresse => faire ensuite une recherche sur les noms des dll pour savoir où elles se trouvent

Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
929
Salut glpos :)
Oui et c'est justement pourquoi j'indiquais de désactiver le bidule, car en effet, les développeurs, eux connaissent bien l'utilité de ce plugin, alors sur les indications des posts ainsi détaillées, tous en ont pour leur besoin.
C'est super cette collaboration ici ;)

ben tu vois Jal' que le monde n'est pas pourri partout ^^

ok je sors ^^
Messages postés
7372
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
10 mai 2012
929
Autre Petit Up :)

et encore un ^^