Problèmes de vulnérabilité Java...
Par Contributeur - Mis à jour le
Tout commence par Sun qui publie des correctifs de sécurité pour sa plateforme Java, corrigeant deux vulnérabilités critiques qui pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Depuis Mars dernier, quelques patchs et mises à jour était apparu. Une mise à jour sur Mac était disponible via "Mise à jour de Logiciel".
La première vulnérabilité concerne Java 2 Platform Standard Edition (J2SE). Elle résulte d'une erreur présente au niveau de la gestion de certaines applets malformées, ce qui pourrait être exploité via une page web malicieuse afin de lire/placer des fichiers arbitraires sur un système vulnérable ou exécuter des application locales avec les privilèges de l'utilisateur connecté.
La seconde vulnérabilité affecte Java Web Start, elle est due à une erreur présente au niveau des exécutables "javaws.exe" (Windows) et "javaws" (Solaris and Linux) qui ne manipulent pas correctement certains fichiers "JNLP" spécialement conçus, ce qui pourrait être exploité via une page web forgée, afin d'installer des fichiers malicieux sur un système vulnérable (virus, trojan...).
D'après Sun, les navigateurs Internet Explorer, Mozilla, Firefox et Opera (Windows et [nix) peuvent être affectés par cette vulnérabilité s'ils utilisent une version vulnérable de Java. Voici la liste des versions vulnérables:
Microsoft Internet Explorer 5.1 sous Macintosh
Tout Microsoft Internet Explorer 5 et 6 sous tout Windows depuis 98
Mozilla version 1.7.8 et inférieures
Mozilla Firefox version 1.0.4 et inférieures
Mozilla Camino version 0.8.4 et inférieures
Apple Safari version 2.0 (412) et inférieures. La version 2.0 (412) est la plus récente.
iCab version 2.9.8 et inférieures
Il n'y a aucune solution officielle pour l'instant. Il est recommandé de désactiver le support JavaScript. Seul Opera a été mis à jour en version 8.01.
La vulnérabilité si elle est toute relative sur Mac est jugée plus que critique sur Windows! En effet, Microsoft a sorti en catastrophe un énième patch qui désactive tout simplement Java en attendant de de trouver mieux!
Vous pouvez tester cette faille et avoir plus d'infos sur secunia.com.
D'autres infos sur donna.
La première vulnérabilité concerne Java 2 Platform Standard Edition (J2SE). Elle résulte d'une erreur présente au niveau de la gestion de certaines applets malformées, ce qui pourrait être exploité via une page web malicieuse afin de lire/placer des fichiers arbitraires sur un système vulnérable ou exécuter des application locales avec les privilèges de l'utilisateur connecté.
La seconde vulnérabilité affecte Java Web Start, elle est due à une erreur présente au niveau des exécutables "javaws.exe" (Windows) et "javaws" (Solaris and Linux) qui ne manipulent pas correctement certains fichiers "JNLP" spécialement conçus, ce qui pourrait être exploité via une page web forgée, afin d'installer des fichiers malicieux sur un système vulnérable (virus, trojan...).
D'après Sun, les navigateurs Internet Explorer, Mozilla, Firefox et Opera (Windows et [nix) peuvent être affectés par cette vulnérabilité s'ils utilisent une version vulnérable de Java. Voici la liste des versions vulnérables:
Microsoft Internet Explorer 5.1 sous Macintosh
Tout Microsoft Internet Explorer 5 et 6 sous tout Windows depuis 98
Mozilla version 1.7.8 et inférieures
Mozilla Firefox version 1.0.4 et inférieures
Mozilla Camino version 0.8.4 et inférieures
Apple Safari version 2.0 (412) et inférieures. La version 2.0 (412) est la plus récente.
iCab version 2.9.8 et inférieures
Il n'y a aucune solution officielle pour l'instant. Il est recommandé de désactiver le support JavaScript. Seul Opera a été mis à jour en version 8.01.
La vulnérabilité si elle est toute relative sur Mac est jugée plus que critique sur Windows! En effet, Microsoft a sorti en catastrophe un énième patch qui désactive tout simplement Java en attendant de de trouver mieux!
Vous pouvez tester cette faille et avoir plus d'infos sur secunia.com.
D'autres infos sur donna.
