Tom's Hardware > Actualités > Logiciels, jeux vidéos > Logiciels > Une faille 0-day dans Java, exploitée

Une faille 0-day dans Java, exploitée

15:10 - vendredi 16 avril 2010 par Pierre Dandumont - source: ComputerWorld

Java, le célèbre langage de programmation, souffre d'une faille qui n'est pas encore corrigée, découverte il y a quelques jours, et des sites indélicats l'utilisent déjà. Elle permet, en simplifiant, de lancer un programme sans avertir l'utilisateur et elle touche les machines sous Windows, équipées de la version 1.6.0_19 de la machine virtuelle (depuis la mise à jour Java SE 6 update 10 de chez Microsoft). Notons qu’Internet Explorer et Firefox sont vulnérables et que Chrome n'est a priori pas touché. Oracle (société qui a racheté Sun, à l'origine de Java) ne devrait pas proposer de mise à jour avant juillet (date prévue pour la prochaine version de Java) mais il existe un moyen de se protéger, une procédure (en anglais) est disponible ici.

Commentaires

Lire plus

Commentaires

Ajouter un commentaire

anonymous 16/04/2010 17:39

Masquer

Sun (Oracle) a sorti une version 6u20 qui corrige la faille

anonymous 16/04/2010 17:41

Masquer

Sun (Oracle) a sorti une version 6u20 des jdk/jre qui corrige la faille

e-TE_iut 16/04/2010 21:59

Masquer

Citation :Un correctif a été proposé par Oracle le 16/04/10 au matin. Il est qualifié de "quick and dirty" par Tavis Ormandy qui a découvert la faille et a prévenu Oracle avant de la rendre publique. "ils ont supprimé complètement la fonction vulnérable, en la remplaçant par 'return 0'", a-t-il expliqué sur Twitter selon nos confrères de TechWorld.

Le détail du correctif proposé par Oracle est accessible à l'adresse suivante http://java.sun.com/javase/6/webnotes/6u20.html

Vermoute 17/04/2010 10:28

Masquer

Citation :return 0

Mdr

pierreyoda 17/04/2010 16:56

Masquer

Ah, un plugin sur Firefox vient d'être bloqué :
"Java Deployment Toolkit, versions 6.0.200.0 and older. Reason: security vulnerabilities (see bug 558584)."
Un rapport?

geek_du_44 17/04/2010 22:36

Masquer

pierreyoda :
Ah, un plugin sur Firefox vient d'être bloqué :"Java Deployment Toolkit, versions 6.0.200.0 and older. Reason: security vulnerabilities (see bug 558584)."Un rapport?

j'ai eu exactement le même message et désactivation ce soir, en ouvrant FF 3.6, ils sont rapide chez Mozilla

ErGo_404 18/04/2010 00:07

Masquer

Etant donné qu'une faille de type 0-day signifie qu'elle est déjà exploitée lorsqu'elle est révélée, je ne suis pas certain que cela soit bien pertinent de rajouter une seconde fois dans le titre que la faille est déjà exploitée ;-)

Chklang 19/04/2010 07:43

Masquer

Tout le monde ne sait pas forcément ce que veux dire 0-day... -_-"