LIENS vers sites amis.
- Forum Chez Papy Xooit
- Forum Chez Papy II (F.A.)
- Cascade Amitié (Xooit)
- Forum Chez Anne et Elisa
- Les mordus du graphisme
- Dan La France mon beau pays
- blogspot de Tessy
- Dan Flânerie Orléanaise
- Centerblog Moïsette
- Overblog Moïsette
- Chez Abob52
- PTILOUIS MACONNERIE SERVICES
- PTILOUIS JARDIN AU NATUREL
-
-
Like/Tweet/+1
Deux nouvelles failles pour Java : une qualité de code « inquiétante »
Page 1 sur 1
Deux nouvelles failles pour Java : une qualité de code « inquiétante »
par victor Lun 21 Jan 2013 - 12:31
Deux nouvelles failles pour Java : une qualité de code « inquiétante »
Une semaine après la correction par Oracle d’une faille de sécurité critique dans Java, ce dernier est à nouveau victime de deux brèches. Une accumulation telle de problèmes que la société à l’origine de ces découvertes, Security Explorations, se demande s’il n’y a pas un sérieux problème dans la qualité du code de Java 7.
Il y a une semaine, nous rapportions dans nos colonnes qu’une nouvelle faille Java avait été détectée. Présentée dans les versions Update 9 et 10 de Java 7, elle permettait à une page web spécialement conçue de faire exécuter un code arbitraire grâce à une escalade de privilèges en utilisant le Security Manager. Oracle avait corrigé la faille, mais la société Security Explorations avait par la suite précisé que le correctif n’était justement pas complet.
La même entreprise a publié vendredi sur le site Seclists.org un nouveau bulletin. C’est le PDG Adam Gowdiak qui prend à nouveau la parole pour expliquer que la faille qu’Oracle a corrigée seulement en partie ouvrait d’autres pistes d’exploration. Deux nouvelles failles ont été trouvées, et Gowdiak ajoute qu’Oracle a été averti dans la foulée, via notamment un Proof of Concept fonctionnel.
Interrogé par PC World, le PDG de Security Explorations a indiqué qu’il y avait « clairement quelque chose d’inquiétant dans la qualité du code de Java SE 7 », avant d’ajouter que le problème venait probablement d’une absence de Secure Development Lifecycle (ensemble de règles visant le développement sécurité d’un projet), ou peut-être d’un problème interne chez Oracle.
Notez que les nouvelles failles n’ont pas de rapport avec les anciennes. Gowdiak a de plus signalé que la dernière mise à jour 11 pour Java 7 avait introduit une barrière supplémentaire. Les applets Java ne peuvent en effet plus être lancés sans que l’utilisateur les ait acceptés via une boîte de dialogue. Il s’agir clairement pour lui d’un pas dans la bonne direction.
Enfin, on rappellera que l’intégration de Java dans le navigateur peut être coupée directement depuis le panneau de gestion correspondant. On trouve ce dernier dans le panneau de configuration sous Windows, ou encore dans Paramètres sous OS X. Cette intégration ne coupe pas Java, ce qui permettra par exemple aux joueurs de Minecraft de laisser l’environnement installé tout en ne courant pas le risque de voir une faille exploitée durant la navigation.
Source : Full Disclosure - pcinpact.com
victor- Fondateur
- Nombre de messages : 5111
Emploi/loisirs : Retraité -
Sujets similaires» Urgent code : un QR code pour prévenir la famille en cas d’accident
» Nouvelles fonctionnalités annoncées pour Hotmail
» De nouvelles règles pour la légitime défense des policiers
» L’inquiétante disparition des papillons de prairies
» Nouvelle alerte inquiétante concernant les sodas
» Nouvelles fonctionnalités annoncées pour Hotmail
» De nouvelles règles pour la légitime défense des policiers
» L’inquiétante disparition des papillons de prairies
» Nouvelle alerte inquiétante concernant les sodas
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum|
|
|