Nouvelle faille Java : 1 milliard d'utilisateurs concernés

Le par  |  10 commentaire(s) Source : cnet
Java

La société spécialisée en sécurité informatique Security Explorations vient de découvrir une nouvelle faille de sécurité dans Java. Elle concerne un milliard de machines.

Adam Gowdiak, PDG de la société Security Explorations, a mis à jour une faille de sécurité dans Java. Il a averti Oracle et attend désormais que la société prenne les mesures qui s'imposent.

Le dernier patch fourni par la société de Larry Ellison ne peut rien contre cette faille de sécurité qui touche toutes les versions de Java depuis J2SE 5.0 (Java SE 5 build 1.5.0_22-b03, Java SE 6 build 1.6.0_35-b10, et la dernière build Java SE 7 1.7.0_07-b10.). Elle exploite la manière dont la machine virtuelle de Java traite les types de données faisant fi du mécanisme de sandbox et permet potentiellement à des hackers de faire exécuter un code malicieux depuis le navigateur internet d'un ordinateur qui exploite Java.

Une mauvaise nouvelle pour Oracle qui n'en finit pas de patcher Java mais surtout pour les possesseurs de quelques un milliard de machines qui sont concernées par cette faille de sécurité.

Toutefois, pour l'heure, la faille n'aurait pas encore été exploitée par des hackers.

Java 

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
patheticcockroach Hors ligne VIP 7663 points
Le #1031952
Ca devient lassant, ce truc lent et qui ne sert qu'à faire tourner des applis de feignasses qui préfèrent pas gérer les plateformes et font subir ce choix aux utilisateurs finaux via l'exorbitant coût CPU... et qui en plus nécessite de constantes MAJ de sécurité qui ont pour habitude de se faire désirer...
Le #1031992
Absolument pas de ton avis Java est un langage très évolué dont les machines virtuelles offrent des performances plus que respectables. Il est clair que c'est une surcouche (qui nécessite des ressources) mais ... Le Dot Net n'est-il pas aussi une surcouche ? Les hyperviseurs ne sont-ils pas aussi une surcouche (d'une certaine manière bien sûr) ? Et pourtant, ces "surcouches" en tout genre sont très utilisées dans le codage moderne et les applicatifs actuels tendent de plus en plus à abandonner le natif pour le virtualisé.

Sans compter qu'en natif, le développement cross-plateform est une vraie calamité (aussi bien pour la compatibilité du code que pour sa maintenance). Même des langages comme celui proposé par RealStudio (qui permet de faire du natif sur 3 plateformes : Windows, Linux et OSX) posent beaucoup de soucis de compatibilité d'un OS à l'autre. Et j'en sais quelque chose, je travaille là dessus depuis 6 mois maintenant Je ne ferais pas de commentaire sur Windev (très bien dans son genre mais tuant par sa syntaxe très gaga et son "orienté objet" à la noix).

Il y a le C++ me diras-tu ? Ben oui, lui aussi pose des soucis et pourtant c'est du natif. Pire, on a non seulement des soucis entre les plateformes (Windows et GCC sous Linux par exemple) mais en plus les différents compilateurs du marché sous Windows ne sont même pas foutus de proposer une compatibilité totale entre eux. Pourquoi faire simple quand on peut faire compliqué

Et pour ceux qui trouvent que ca "rame" de trop avec leur config, soit ils upgradent, soit ils peuvent encore utiliser le GWBasic sous MS-DOS C'était pas mal l'interprété au fond
Le #1032002
Addendum :

1. Java je t'adore comme j'adore le café, mais Oracle tu me tues avec tes failles !

2. Loin de moi de dénigrer les développeurs Windev ! Malgré ses travers cet EDI est vraiment très bien pensé et très véloce (j'ai la version 17 qui est vraiment incroyable en possibilités et imbattable sur le rapport "vitesse de développement/application fonctionnelle" )
Anonyme
Le #1032092
Ulysse2K a écrit :

Absolument pas de ton avis Java est un langage très évolué dont les machines virtuelles offrent des performances plus que respectables. Il est clair que c'est une surcouche (qui nécessite des ressources) mais ... Le Dot Net n'est-il pas aussi une surcouche ? Les hyperviseurs ne sont-ils pas aussi une surcouche (d'une certaine manière bien sûr) ? Et pourtant, ces "surcouches" en tout genre sont très utilisées dans le codage moderne et les applicatifs actuels tendent de plus en plus à abandonner le natif pour le virtualisé.

Sans compter qu'en natif, le développement cross-plateform est une vraie calamité (aussi bien pour la compatibilité du code que pour sa maintenance). Même des langages comme celui proposé par RealStudio (qui permet de faire du natif sur 3 plateformes : Windows, Linux et OSX) posent beaucoup de soucis de compatibilité d'un OS à l'autre. Et j'en sais quelque chose, je travaille là dessus depuis 6 mois maintenant Je ne ferais pas de commentaire sur Windev (très bien dans son genre mais tuant par sa syntaxe très gaga et son "orienté objet" à la noix).

Il y a le C++ me diras-tu ? Ben oui, lui aussi pose des soucis et pourtant c'est du natif. Pire, on a non seulement des soucis entre les plateformes (Windows et GCC sous Linux par exemple) mais en plus les différents compilateurs du marché sous Windows ne sont même pas foutus de proposer une compatibilité totale entre eux. Pourquoi faire simple quand on peut faire compliqué

Et pour ceux qui trouvent que ca "rame" de trop avec leur config, soit ils upgradent, soit ils peuvent encore utiliser le GWBasic sous MS-DOS C'était pas mal l'interprété au fond


« Et pour ceux qui trouvent que ca "rame" de trop avec leur config, soit ils upgradent, soit ils peuvent encore utiliser le GWBasic sous MS-DOS C'était pas mal l'interprété au fond. »

Soit ils ne l'utilisent pas et ça marche très bien aussi comme en plus les applications sous Java ne sont pas indispensables (et y a de la marge)…
Le #1032162
"la manière dont la machine virtuelle de Java traite les types de données faisant fi du mécanisme de sandbox", c'est quoi le rapport entre "les types de données" et la sandbox ? Comment on fait pour traiter "les types de données" en tenant compte du mécanisme de la sandbox ? Les nombres présentent davantage de risques s'il sont plus grand ? Quel ramassis de conneries pour gogo, encore une diversion pour ne parler des problèmes de sécurité bien réel eux, qui vont débarquer avec Windows 8.
Le #1032212
Faille exploitable depuis un navigateur Internet.
Donc il s'agit d'une faill exécutable depuis une applet (il faut déjà exécuter les applets).
Depuis quel navigateur (Internet explorer 6) ?

Je pense qu'il est facile de mentionner qu'il y a des risques de sécurité.

Il est clair qu'utiliser Win 95 de nos jours risque grandement d'augmenter le risque de sécurité.

Sinon pour la faille, j'imagine qu'il est possible de déborder de l'allocation mémoire (buffer overflow) et d'y exécuter du code, si j'ai bien compris.

Il faut donc se pointer sur des sites qui vont exploiter Java et où le développeur mal intentionné aura pris soin d'exploiter la faille....
Le #1032232
ignace72 a écrit :

Ulysse2K a écrit :

Absolument pas de ton avis Java est un langage très évolué dont les machines virtuelles offrent des performances plus que respectables. Il est clair que c'est une surcouche (qui nécessite des ressources) mais ... Le Dot Net n'est-il pas aussi une surcouche ? Les hyperviseurs ne sont-ils pas aussi une surcouche (d'une certaine manière bien sûr) ? Et pourtant, ces "surcouches" en tout genre sont très utilisées dans le codage moderne et les applicatifs actuels tendent de plus en plus à abandonner le natif pour le virtualisé.

Sans compter qu'en natif, le développement cross-plateform est une vraie calamité (aussi bien pour la compatibilité du code que pour sa maintenance). Même des langages comme celui proposé par RealStudio (qui permet de faire du natif sur 3 plateformes : Windows, Linux et OSX) posent beaucoup de soucis de compatibilité d'un OS à l'autre. Et j'en sais quelque chose, je travaille là dessus depuis 6 mois maintenant Je ne ferais pas de commentaire sur Windev (très bien dans son genre mais tuant par sa syntaxe très gaga et son "orienté objet" à la noix).

Il y a le C++ me diras-tu ? Ben oui, lui aussi pose des soucis et pourtant c'est du natif. Pire, on a non seulement des soucis entre les plateformes (Windows et GCC sous Linux par exemple) mais en plus les différents compilateurs du marché sous Windows ne sont même pas foutus de proposer une compatibilité totale entre eux. Pourquoi faire simple quand on peut faire compliqué

Et pour ceux qui trouvent que ca "rame" de trop avec leur config, soit ils upgradent, soit ils peuvent encore utiliser le GWBasic sous MS-DOS C'était pas mal l'interprété au fond


« Et pour ceux qui trouvent que ca "rame" de trop avec leur config, soit ils upgradent, soit ils peuvent encore utiliser le GWBasic sous MS-DOS C'était pas mal l'interprété au fond. »

Soit ils ne l'utilisent pas et ça marche très bien aussi comme en plus les applications sous Java ne sont pas indispensables (et y a de la marge)…


Effectivement, la seule appli Java que j'ai pas encore réussi à remplacer c'est Eclipse...
Le #1032422
La programmation Assembleur, y a que ca de vrai ... pour les hommes les vrais ... !!!

(second degrés tout ça ...)
Le #1032442
FRANCKYIV a écrit :

La programmation Assembleur, y a que ca de vrai ... pour les hommes les vrais ... !!!

(second degrés tout ça ...)


Mais le JavaScript, c'est bien plus pratique
http://www.bellard.org/jslinux/
Le #1032772
Et moi et moi et moi ...........
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]