Nouvelle faille zero day, il est urgent de désactiver Java !

[dd2024]

Les failles de sécurité pour Java se multiplient, que ceux qui ne l’ont pas encore désactivé le fassent rapidement, c’est un conseil des experts en sécurité et du département de la Sécurité intérieur américain.

« Désactivez Java ! Tout de suite ! » C’est, d’une voix unanime, ce que les experts en sécurité du monde entier enjoignent les utilisateurs à faire. Une nouvelle faille zero day Java a en effet été débusquée. Le plugin pour navigateur Web est porteur d’un bug nouvellement identifié qui permet la redirection vers des sites piégés à partir de sites fréquentés quotidiennement (météo, information, etc.) via de simples publicités. Ensuite, des codes malicieux peuvent être exécutés sur les machines des utilisateurs.

Mise en garde très officielle

L’attaque a débuté le 6 janvier d’après Kurt Baumgartner, expert en sécurité pour l’éditeur de logiciels de sécurité Kasperky. Elle touche de nombreux pays mais transitent par des sites principalement hébergés au Royaume-Uni, en Russie et au Brésil. La France semble pour l'instant relativement épargnée, à en croire une carte réalisée par Kurt Baumgartner pour identifier les zones les plus sévèrement touchées.
Le risque est toutefois suffisant pour que le département américain de la Sécurité intérieure ait pris la parole hier, jeudi 10 janvier 2013. Il a mis en garde contre cette faille, appelant ses utilisateurs à cesser d'avoir recours à Java.



Cette vulnérabilité du logiciel, qui fonctionne en général comme un « plug-in » dans les explorateurs Web, est actuellement exploitée par des pirates informatiques, met en garde la branche chargée des situations informatiques d'urgence du département sur son site Web.

« Nous ne connaissons à l'heure actuelle aucune solution pratique à ce problème », ajoute-t-elle. La solution recommandée revient donc à désactiver le logiciel Java, créé par Sun Microsystems mais distribué par Oracle depuis que ce dernier a racheté Sun.

Source : 01net.com

[dd2024]

Désactiver Java

• Internet Explorer
  
  Se rendre dans les Options Internet, puis dans l’onglet Programmes. Cliquer sur « Gérer les modules complémentaires » et chercher Java dans la liste :
  
  
  
  
• Firefox
  
  Se rendre dans le menu Outils, puis cliquer sur Modules Complémentaires :
  
  
  
  
• Chrome
  
  Cliquer sur la clé à molette en haut à droite du navigateur, puis sur Paramètres. Cliquez sur le bouton Paramètres de contenu dans la zone « Confidentialité », puis sur le lien « Désactiver les plug-ins individuels » dans la partie « Plug-ins » :
  
  
  
  
• Safari
  
  Se rendre dans les paramètres du navigateur, puis dans l’onglet Sécurité :
  
  

Source : pcinpact.com

[GMI]

Les failles de sécurité pour Java se multiplient, que ceux qui ne l’ont pas encore désactivé le fassent rapidement, c’est un conseil des experts en sécurité et du département de la Sécurité intérieur américain.

Le problème est que la version 7 est désactivée.
Si le bogue est équivalent a celui cité par le site
http://www.developpez.com/actu/50844/Faille-de-securite-critique-dans-Java-7-activement-exploitee-pouvant-etre-utilisee-pour-installer-des-malwares/ ou
http://www.lemondeinformatique.fr/actualites/lire-alerte-sur-une-faille-zero-day-dans-java-52010.html
il est dit :
Java refait parler de lui avec la découverte d'une vulnérabilité de type zero day qui affecte toutes les versions (du 7.10 aux antérieures) des plug-in pour navigateurs. Plus grave, cette faille est déjà exploitée dans les kits d'attaques les plus connus, selon les spécialistes de la sécurité.

Je tourne depuis la grosse faille de sécurité (non corrigée) avec Java 6 Version 6 Update 38.

http://www.java.com/fr/download/faq/java_6.xml

Par contre le passage de FireFox 17 à 18 à solutionné les problèmes que je rencontrais avec deux sites et me semble plus rapide.

[sks]

merciiiii pour ces infos

[Homen]

merci de l alerte
apres vérif, je constate que le plug en question n est pas installé sur ma bécane

[nessia]

Merci toutes ces informations... Bloqué chez moi aussi

Amicalement nessia...

[dico12]

bonsoir

faille corrigée dans la maj 11 !

[dd2024]

Java : une nouvelle faille zero-day est vendue au marché noir
Un cybercriminel a proposé, pour 5 000 dollars, un kit qui exploiterait une nouvelle vulnérabilité zero-day dans Java.
http://www.01net.com/editorial/584501/j ... rche-noir/

A mon avis, il faut vraiment le désactiver complétement, et uniquement si on en a vraiment besoin sur un site connu l'activer que le moment ou on va sur se site...

J'ai lu, je sais plus ou, que pour corriger toutes les failles de Java, il faudrait plus d'un an à Oracle pour le faire

[GMI]

A mon avis, il faut vraiment le désactiver complétement, et uniquement si on en a vraiment besoin sur un site connu l'activer que le moment ou on va sur se site...

Avec firefox on a cela et pour moi c'est Ok (avec Java6)
http://cjoint.com/?0Atc4p841ro cliquer pour voir image (valide 21 jours)

[bizih]

DD je vais contrôler les machines des proches également.

[mic]

Merci pour l'info............ Je désactive

[GMI]

Les failles de sécurité pour Java se multiplient, que ceux qui ne l’ont pas encore désactivé le fassent rapidement, c’est un conseil des experts en sécurité et du département de la Sécurité intérieur américain.

Mise à jour Java : Version 7 Update 15
Cette version résout des problèmes de sécurité. Oracle recommande vivement à tous les utilisateurs de Java SE 7 de procéder à la mise à niveau vers cette version.
Cette version comprend des correctifs concernant les vulnérabilités de sécurité. Pour plus d'informations, consultez la page Web Oracle Java SE Critical Patch Update Advisory.
L'installation de cette mise à jour garantit que les applications Java continuent de fonctionner avec autant de sécurité et d'efficacité.

Notes sur la version.
http://www.oracle.com/technetwork/java/javase/7u-relnotes-515228.html
Pour installer cette mise à jour Java
http://java.com/fr/download/java_update.jsp