Faille très critique Java, non corrigée...
Résolu
jalobservateur
Messages postés
7372
Date d'inscription
Statut
Contributeur sécurité
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Avis aux utilisateur de Windows, toutes éditions.
Une faille importante vient juste d'être découverte dans Java et non corrigée pour le moment...
Le fait de désactiver le Java-script ne protège pas contre l'exploitation de cette vulnérabilité.
Actuellement sans information claire de la part de Sun sur la correction de cette faille, il est conseillé à l'utilisateur de modifier manuellement ses configurations logicielles.
Pour les deux navigateurs suivants, les manipulations ci-dessous permettent de limiter les risques:
-------------------------------------------------------------------------------------
1: Pour Firefox: Vérifiez si vous avez dans vos plugins ceci:
Java Deployment Toolkit .
Si tel est le cas, ouvrez le menu Outils et choisissez 'Modules complémentaires'.
Dans l'onglet Plugins sélectionnez Java Deployment Toolkit et cliquez sur Désactiver.
---------------
2: Pour Internet Explorer, il est nécessaire de placer un 'Bit d'arrêt' pour l'ActiveX suivant: ''Classe ID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA''. Ici un tuto sur la façon dont réaliser cette manipulation: https://support.microsoft.com/en-us/topic/out-of-date-activex-controls-3ad33b2d-1cee-5d46-1234-e70714324850
Moins freindly user comme manipulations, mais essentielles.
@+
----------
Explication de la menace : La méthode d'attaque permet d'exécuter du code arbitraire à l'exécution du lanceur web Java. Donc par la suite exécuter avec permissions administratives, des gestes graves et prise de contrôle des machines ciblées.
-------------------
Infos supplémentaires:Java Deployment Toolkit est installé automatiquement avec le Java Runtime Environment depuis la version 6 (release 10) dans les navigateurs Internet comme Microsoft Internet Explorer, Mozilla Firefox ou Google Chrome.
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Une faille importante vient juste d'être découverte dans Java et non corrigée pour le moment...
Le fait de désactiver le Java-script ne protège pas contre l'exploitation de cette vulnérabilité.
Actuellement sans information claire de la part de Sun sur la correction de cette faille, il est conseillé à l'utilisateur de modifier manuellement ses configurations logicielles.
Pour les deux navigateurs suivants, les manipulations ci-dessous permettent de limiter les risques:
-------------------------------------------------------------------------------------
1: Pour Firefox: Vérifiez si vous avez dans vos plugins ceci:
Java Deployment Toolkit .
Si tel est le cas, ouvrez le menu Outils et choisissez 'Modules complémentaires'.
Dans l'onglet Plugins sélectionnez Java Deployment Toolkit et cliquez sur Désactiver.
---------------
2: Pour Internet Explorer, il est nécessaire de placer un 'Bit d'arrêt' pour l'ActiveX suivant: ''Classe ID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA''. Ici un tuto sur la façon dont réaliser cette manipulation: https://support.microsoft.com/en-us/topic/out-of-date-activex-controls-3ad33b2d-1cee-5d46-1234-e70714324850
Moins freindly user comme manipulations, mais essentielles.
@+
----------
Explication de la menace : La méthode d'attaque permet d'exécuter du code arbitraire à l'exécution du lanceur web Java. Donc par la suite exécuter avec permissions administratives, des gestes graves et prise de contrôle des machines ciblées.
-------------------
Infos supplémentaires:Java Deployment Toolkit est installé automatiquement avec le Java Runtime Environment depuis la version 6 (release 10) dans les navigateurs Internet comme Microsoft Internet Explorer, Mozilla Firefox ou Google Chrome.
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
A voir également:
- Faille très critique Java, non corrigée...
- Waptrick java football - Télécharger - Jeux vidéo
- Jeux java itel - Télécharger - Jeux vidéo
- Eclipse java - Télécharger - Langages
- Java apk - Télécharger - Langages
- Waptrick java voiture - Télécharger - Jeux vidéo
167 réponses
Bonjour à tous,
Je n'ai toujours pas osé fusionner le fichier avec le registre, car je crains
avoir un message d'erreur après, et le registre, c'est délicat
Je n'ai toujours pas osé fusionner le fichier avec le registre, car je crains
avoir un message d'erreur après, et le registre, c'est délicat
Salut,
Non y a pas de raison et en plus c'est réversible.
Mais étant donné que Sun vient de combler la faille, la _20 en l'installant et la _19 en la supprimant, t'évitent de faire la manip. :)
Non y a pas de raison et en plus c'est réversible.
Mais étant donné que Sun vient de combler la faille, la _20 en l'installant et la _19 en la supprimant, t'évitent de faire la manip. :)
la faille vient d'être corrigée, une dernière version de java vient de sortir
c'est 6 Update 20 que je viens dinstaller
Cette faille était très dangereuse
c'est 6 Update 20 que je viens dinstaller
Cette faille était très dangereuse
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Avec un peu de retard... Je viens justement de recevoir via Secuser :)
------------------
S E C U S E R S E C U R I T E 15/04/10
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mise à jour critique pour Java
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
RESUME DE L'ALERTE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Deux défauts de sécurité ont été identifiés dans Java, un logiciel gratuit
qui permet aux navigateurs web d'exécuter les applications du même nom.
Leur exploitation permet à un individu malveillant ou à un virus d'exécuter
du code malicieux sur l'ordinateur de sa victime à l'ouverture d'une page
web piégée. Ces failles sont déjà utilisées à des fins malveillantes.
http://www.secuser.com/vulnerabilite/2010/100412-java.htm
SOLUTION DISPONIBLE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Si ce logiciel est installé sur votre ordinateur, vous devez appliquer le
correctif disponible afin de prévenir toute exploitation malveillante (un
test simple permet aux utilisateurs de savoir si ce logiciel est présent) :
http://www.secuser.com/vulnerabilite/2010/100412-java.htm
------------------
S E C U S E R S E C U R I T E 15/04/10
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mise à jour critique pour Java
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
RESUME DE L'ALERTE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Deux défauts de sécurité ont été identifiés dans Java, un logiciel gratuit
qui permet aux navigateurs web d'exécuter les applications du même nom.
Leur exploitation permet à un individu malveillant ou à un virus d'exécuter
du code malicieux sur l'ordinateur de sa victime à l'ouverture d'une page
web piégée. Ces failles sont déjà utilisées à des fins malveillantes.
http://www.secuser.com/vulnerabilite/2010/100412-java.htm
SOLUTION DISPONIBLE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Si ce logiciel est installé sur votre ordinateur, vous devez appliquer le
correctif disponible afin de prévenir toute exploitation malveillante (un
test simple permet aux utilisateurs de savoir si ce logiciel est présent) :
http://www.secuser.com/vulnerabilite/2010/100412-java.htm
entièrement corrigée ou pas?
https://www.generation-nt.com/java-environnement-faille-securite-windows-actualite-996391.html
https://www.generation-nt.com/java-faille-plugin-navigateur-update-20-jre-actualite-998341.html
http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-005/index.html
https://www.generation-nt.com/java-environnement-faille-securite-windows-actualite-996391.html
https://www.generation-nt.com/java-faille-plugin-navigateur-update-20-jre-actualite-998341.html
http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-005/index.html
Salut Glops :)
Ouais travail bâclé il semble bien .......
Citation
Selon The H Security, il semble que les composants vulnérables ne sont plus chargés dans le navigateur, et la vulnérabilité aurait donc été corrigée. Petit bémol toutefois puisque la mise à jour de Java ne permet apparemment pas de contrecarrer l'exploit dans tous les cas.
Ouais travail bâclé il semble bien .......
Citation
Selon The H Security, il semble que les composants vulnérables ne sont plus chargés dans le navigateur, et la vulnérabilité aurait donc été corrigée. Petit bémol toutefois puisque la mise à jour de Java ne permet apparemment pas de contrecarrer l'exploit dans tous les cas.
Tu as raison Jal cela ressemble bien a du travail baclé de derniers recours. Maintenant il faudrait aussi être sûr des sources de H Security, car je vois mal Oracle se permettre cela, mais... on ne sait jamais
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Salut :)
Ouais, mais tu sais comme moi que le simple fait que Java n'est pas prévu dès le début, une suppression des vieux javas exploitables qui fourmillent sur les machines, alors, en effet ceci n'est pas signé de l'infaillibilité.:)
Mais... Si on se met dans les chaussures de ces derniers, il est entendu qu'il est préférable de ne pas trop annoncer que le dit patch est une sorte de diachilon 'temporaire'.
De toutes façons, il n'est pas vraiment de mise, jusqu'à preuve de la solidité de la chose, que de réactiver sur le (les) navigateurs le bidule, en question...
Donc attendre est plus prudent.
Ouais, mais tu sais comme moi que le simple fait que Java n'est pas prévu dès le début, une suppression des vieux javas exploitables qui fourmillent sur les machines, alors, en effet ceci n'est pas signé de l'infaillibilité.:)
Mais... Si on se met dans les chaussures de ces derniers, il est entendu qu'il est préférable de ne pas trop annoncer que le dit patch est une sorte de diachilon 'temporaire'.
De toutes façons, il n'est pas vraiment de mise, jusqu'à preuve de la solidité de la chose, que de réactiver sur le (les) navigateurs le bidule, en question...
Donc attendre est plus prudent.
Ok Moe,
Merci pour tout.....
Pour moi après verif c'est ok (Depuis l'aide de Lyonnais et du coup de patte de SKE) sous vista...( Vraiment merci à eux)
Par contre , je pense que tu vas nous conccoter ,un test genre "calculette" ou autre.. dans peu de temps......
Quoi qu'il en soit merci ......
a+
Merci pour tout.....
Pour moi après verif c'est ok (Depuis l'aide de Lyonnais et du coup de patte de SKE) sous vista...( Vraiment merci à eux)
Par contre , je pense que tu vas nous conccoter ,un test genre "calculette" ou autre.. dans peu de temps......
Quoi qu'il en soit merci ......
a+
Bonsoir
Merci à moe pour ces explications utiles et détaillés.
Chez moi seul le fichier ici était à changer C:\Program Files\Java\jre6\bin\new_plugin , le reste était OK
Bonne soirée
Merci à moe pour ces explications utiles et détaillés.
Chez moi seul le fichier ici était à changer C:\Program Files\Java\jre6\bin\new_plugin , le reste était OK
Bonne soirée
beau boulot oui,merci
Par ailleurs,l'internaute "lambda" n'a pas ,mais alors pas du tout, besoin du java deployment toolkit ;-): https://www.oracle.com/java/technologies/#DT (il est utile seulement aux développeurs, donc un très petit pourcentage des utilisateurs de Java...)
on peut donc aussi le désactiver et même le shooter comme ceci:
Pour cela, supprimer les fichiers suivants (3 fois le même à 3 endroits différents!):
C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll
C:\Program Files\Java\jre6\bin\npdeployJava1.dll
C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll
pour connaitre les dll des modules complémentaires firefox tapez about:plugins dans la barre d'adresse => faire ensuite une recherche sur les noms des dll pour savoir où elles se trouvent
Par ailleurs,l'internaute "lambda" n'a pas ,mais alors pas du tout, besoin du java deployment toolkit ;-): https://www.oracle.com/java/technologies/#DT (il est utile seulement aux développeurs, donc un très petit pourcentage des utilisateurs de Java...)
on peut donc aussi le désactiver et même le shooter comme ceci:
Pour cela, supprimer les fichiers suivants (3 fois le même à 3 endroits différents!):
C:\Program Files\Java\jre6\bin\new_plugin\npdeployJava1.dll
C:\Program Files\Java\jre6\bin\npdeployJava1.dll
C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll
pour connaitre les dll des modules complémentaires firefox tapez about:plugins dans la barre d'adresse => faire ensuite une recherche sur les noms des dll pour savoir où elles se trouvent
Salut glpos :)
Oui et c'est justement pourquoi j'indiquais de désactiver le bidule, car en effet, les développeurs, eux connaissent bien l'utilité de ce plugin, alors sur les indications des posts ainsi détaillées, tous en ont pour leur besoin.
C'est super cette collaboration ici ;)
Oui et c'est justement pourquoi j'indiquais de désactiver le bidule, car en effet, les développeurs, eux connaissent bien l'utilité de ce plugin, alors sur les indications des posts ainsi détaillées, tous en ont pour leur besoin.
C'est super cette collaboration ici ;)