[réglé] Faille Java : 2 Patchs Correctifs "Java 7 update 7" & "Java 6 update 35" Disponibles

[Hicham]

Oracle publie un patch de sécurité pour Java 7

 

Oracle a avancé son calendrier de mises à jour de Java pour répondre à la découverte d'une faille de sécurité majeure qui permettait d'exécuter n'importe quel code (y compris non Java) depuis les navigateurs web accédant à des applets Java malveillantes. La firme a mis en ligne Java SE 7u7 qui corrige la faille, dont une société polonaise affirmait hier qu'elle était connue d'Oracle depuis le mois d'avril.

"Du fait de la gravité de ces vulnérabilités, de la divulgation au public des détails techniques et de l'exploitation rapportée [de la faille] "dans la nature", Oracle recommande fortement que les consommateurs appliquent les mises à jour fournies dès que possible", indique l'éditeur dans une alerte de sécurité.

 

 

Oracle précise que les problèmes corrigés affectent aussi bien le Java Runtime Environment (JRE) 7 à partir de la version 6, que Java 6 à partir de la mise à jour 34.

---

Source

Modifié le 31 août 2012 par Hicham

[ColdFire]

patch testé il ne sert à rien la faille et toujours la :/

[Hicham]

patch testé il ne sert à rien la faille et toujours la :/

 

ah bon za3ma avant tu t'es rendu compte qu'il y avait une faille ?

[ColdFire]

ah bon za3ma avant tu t'es rendu compte qu'il y avait une faille ?

 

ben c'est pas mon travailler sa mais j'aime testé

parce que avant que la faille ne soit redus public 2ou3 mois déja elle est sur les forums underground ^^ donc avec en peut

exploit via armitage de metasploit c'est pour sa que j'ai re testé avec le patch et sa marche toujours xD ^^

[Nadamian]

bonjour

c'est pas un peut grave qu'Oracle sort une mise a jour avec la même faille!!.

[PaPi||OnDZ]

Security Explorations affirme avoir découvert une vulnérabilité dans la publication en urgence d'Oracle afin de corriger... des vulnérabilités dans Java 7.

 

La semaine dernière, Oracle a prodigué en urgence une mise à jour correctrice pour l'environnement Java 7 afin de combler des vulnérabilités 0-day qui ont beaucoup fait parler d'elles.

 

Remercié par Oracle pour avoir rapporté de telles failles ( portées à la connaissance d'Oracle en avril 2012 ! ), Adam Gowdiak de Security Explorations tire à nouveau la sonnette d'alarme. Tout n'a pas été réglé par le patch.

 

Le chercheur en sécurité polonais indique qu'une faille dans Java 7 Update 7 peut être exploitée pour contourner la sandbox Java et exécuter du code arbitraire sur le système d'exploitation. Une preuve de concept a été envoyée à Oracle.

 

Pas question pour autant de rendre la vulnérabilité publique. Les détails pour l'exploitation ne seront pas rendus publics tant qu'Oracle n'aura pas élaboré un correctif en bonne et due forme.

 

Comme il ne s'agit pour le moment que d'une preuve de concept, la menace n'est pas à son maximum pour les utilisateurs. La réactivité d'Oracle sera néanmoins scrutée de près suite aux récentes critiques à son encontre.

 

Mettre plus de temps à corriger une faille signalée, c'est aussi donner plus de temps à des individus peu scrupuleux pour la découvrir et l'exploiter.

 

Le bon conseil pour les utilisateurs est que s'ils n'ont pas besoin de Java ( un composant optionnel ), autant ne pas l'installer ou le supprimer.

 

Le cas échéant, Security Explorations a constaté que la sandbox de Java 6 semble plus sûre que celle de Java 7.

 

Source : http://www.generation-nt.com/java-securite-vulnerabilite-actualite-1621172.html

 

d’après l'expert il y a une autre faille dans le correctif.... ColdFire tu peux la rendre public ?!