Oracle corrige une faille

[yoda1234]

Bonjour,

suite à cette faille de sécurité révélée le 26 août mais connue depuis avril 2012, Oracle vient de publier un correctif . La plupart des sites et même les éditeurs avaient conseillé de désactiver Java.

Mais comme le fait remarquer un blogueur est-il vraiment utile -pour l'internaute moyen- de réactiver cette fonctionnalité?
-----

[abracadabra75]

Bonjour.
j'utilise LibreOffice.
Ca fait un bail que je l'ai installé, mais je crois me souvenir que ce dernier l'impose d'office(Rien à voir avec celui de Microsoft.)
S'il ne lui est pas nécessaire, je le virerais bien, ne l'utilisant pas.
A+

[yoda1234]

Bonjour,

comme le dit cette page:

Prérequis pour l’installation : Java

LibreOffice a besoin d'un environnement d'exécution Java (JRE) pour vous faire bénéficier de toutes ses fonctions. Cela concerne en particulier Base le module de base de données, certains assistants et des extensions (générateur de rapports, solveur, etc.) installées par défaut.

Donc....

[yoda1234]

Des chercheurs en sécurité polonais ont envoyé une preuve de conception (PoC ou proof-of-concept) d'un exploit concernant la mise à jour de sécurité émise 24 heures plus tôt.
https://isc.sans.edu/diary.html?storyid=14017

[A voir en vidéo sur Futura]

[Franz Dur]

Bonjour,

Il semble (lu sur le net donc prudence) que la faille affecte JRE7 et pas JRE6. En désinstallant l'update 6 ==> 7 ce devrait être bon.... C'est ce que j'ai fait, de même j'ai désactivé le plugin dans Firefox.

Francis

[yoda1234]

Bonjour,

(lu sur le net donc prudence)

N'hésite a mettre des liens, c'est peut-être intéressant.

Il semble que la faille affecte JRE7 et pas JRE6. En désinstallant l'update 6 ==> 7 ce devrait être bon.... C'est ce que j'ai fait, de même j'ai désactivé le plugin dans Firefox.

Sans doute puisque, d'après ce que je comprend cela affecte la mise à jour elle-même. Mais comme cette mise à jour est censée combler cette faille, cela revient a être à nouveau vulnérable
La meilleure solution est bien de désactiver le plugin du navigateur.

[Franz Dur]

Bonjour,

En fait, en recherchant les liens, je vois des informations contradictoires. D'après Oracle sont concernés:

- JDK and JRE 6 Update 34 and before

- JDK and JRE 7 Update 6 and before

L(histoire n'est sans doute pas terminée car il se dit (non je n'ai pas gardé le lien) que le correctif porte lui-même une faille (je crois que ce sont des Polonais qui ont trouvé cela et publié une "proof of concept".

Francis

[Franz Dur]

Bonsoir,

Une page bien faite et qui semble (?) à jour : http://www.secuser.com/vulnerabilite...20830-java.htm

Francis

[yoda1234]

L(histoire n'est sans doute pas terminée car il se dit (non je n'ai pas gardé le lien) que le correctif porte lui-même une faille (je crois que ce sont des Polonais qui ont trouvé cela et publié une "proof of concept".

C'est ce que je signalais ici:

Des chercheurs en sécurité polonais ont envoyé une preuve de conception (PoC ou proof-of-concept) d'un exploit concernant la mise à jour de sécurité émise 24 heures plus tôt.
https://isc.sans.edu/diary.html?storyid=14017

Bonsoir,

Une page bien faite et qui semble (?) à jour : http://www.secuser.com/vulnerabilite...20830-java.htm

Oui, je visite de temps en temps Secuser. D'ailleurs, j'aime particulièrement la remarque portée sur la page que tu as pointée:

NB : suite à un accord commercial entre Oracle et Ask, les utilisateurs sont incités à installer la barre d'outils Ask en même temps que la nouvelle version de Java. Cette barre d'outils n'a pas de rapport avec la sécurité et a notamment pour fonction de collecter des informations sur les recherches que vous effectuez, aussi à moins que vous ne souhaitiez effectivement l'installer, il faut décocher la case précochée (cercle rouge sur l'image ci-dessous) avant de cliquer sur le bouton "Suivant >" :

Un rappel qui ne fait pas de mal...