Faille importante sur java

Avis aux utilisateur de Windows, toutes éditions.
Une faille importante vient juste d\'être découverte dans Java et non corrigée pour le moment...
on en parle ici:
www.pcworld.fr/2010/04/15/logiciels/faille-critique-java-windows/484931/
www.generation-nt.com/java-environnement-faille-securite-windows-actualite-996391.html
-------------------------------------------------------------------------------------
Le fait de désactiver le Java-script ne protège pas contre l\'exploitation de cette vulnérabilité.
Actuellement sans information claire de la part de Sun sur la correction de cette faille, il est conseillé à l\'utilisateur de modifier manuellement ses configurations logicielles.
Pour les deux navigateurs suivants, les manipulations ci-dessous permettent de limiter les risques:
-------------------------------------------------------------------------------------
1: Pour Firefox: Vérifiez si vous avez dans vos plugins ceci:
Java Deployment Toolkit .
Si tel est le cas, ouvrez le menu \"Outils\" et choisissez \'Modules complémentaires\'.
Dans l\'onglet Plugins sélectionnez \"Java Deployment Toolkit\" et cliquez sur Désactiver.
---------------
2: Pour Internet Explorer, il est nécessaire de placer un \'Bit d\'arrêt\' pour l\'ActiveX suivant: \'\'Classe ID CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA\'\'. Ici un tuto sur la façon dont réaliser cette manipulation:support.microsoft.com/kb/240797.
Moins évident comme manipulations, mais essentielles!!

----------
Explication de la menace : La méthode d\'attaque permet d\'exécuter du code arbitraire à l\'exécution du lanceur web Java. Donc par la suite exécuter avec permissions administratives, des gestes graves et prise de contrôle des machines ciblées.
-------------------
Infos supplémentaires:Java Deployment Toolkit est installé automatiquement avec le Java Runtime Environment depuis la version 6 (release 10) dans les navigateurs Internet comme Microsoft Internet Explorer, Mozilla Firefox ou Google Chrome.

__________________________________________________________________

sous IE pour ceux qui le souhaite il y a la possibilité de faire un fichier .reg:

Ouvrir le Bloc-Notes et copier les lignes ci-dessous:




Enregistrer le fichier sur le Bureau sous le nom fix.reg (attention, l\'extension reg est nécessaire).

Double clic sur le fichier fix.reg sur le Bureau.

Accepter l\'avertissement concernant la fusion

Le fix va travailler sans se manifester.

A la fin, il y aura un message disant que la fusion est terminée. valider.

pour les OS 64bits et IE 64bits la clé varie voir ici => blogs.technet.com/srd/archive/2008/02/06/The-Kill_2D00_Bit-FAQ_3A00_-Part-1-of-3.aspx

Pour vérifier, ouvrir ce lien (sous Internet Explorer) :

Si rien ne se passe, c\'est OK

Si la calculatrice s\'exécute, le fix n\'a pas fonctionné.

source ici


edit: La faille est corrigée

bonjour,
et merci jllg .

Bonjour,

Il y a une M.A.J de Java qui corrige cette faille!

Java 6 Update 20

salut singleton tu en es sûr?

www.silicon.fr/fr/news/2010/04/15/la_faille_java_zero_day_exploitee

Je ne suis sûr de rien,mais à quoi pourrait bien servir cette nouvelle version, publiée ce matin,si ce n\'était pas pour combler cette faille..?

logique effectivement

je vais me renseigner ! en tout cas belle réaction de Sun

Bjr

J\'ai essayé de DL la m.a.j Java 6.2 signalée par singleton.
Elle a abouti chez moi par 2 fois à une \"erreur\" signalée dans le téléchargement, avec impossibilité d\'installer cette m.a.j


Malgré \"l\'erreur au téléchargement\", je viens de vérifier que je dispose bien de la dernière version Java 6.20

c\'est confirmé, la faille est corrigée

Donc mettre à jour pour la 6update20 le plus rapidement possible

Merci JLLG, très belle réaction de Java

Merci jllg, fait.

Le fait de désactiver le Java-script ne protège pas contre l\'exploitation de cette vulnérabilité.

certes non, mais on aurait très bien pu désactiver java en attendant. (Java tout court)
Je ne sais pas qui est à la source de cette info et j\'espère qu\'il ne confond pas aussi les pps avec les pdf (par exemple )

Bonjour,
Pour moi ce matin j\'ai reçu une alerte indiquant que java Deployment Toolkit6.0.190.4 est supprimé sur mon ordi par sécurité.
Don acte!

Bonjour à vous,
En ce qui me concerne,Firefox 3.6.3 c\'est chargé lui mème de désactiver le module!( Avec mon accord! )
Vous en connaissez beaucoup des navigateurs comme ça, vous !
Bonne journée.

J\'ignorais
Jusqu\'à maintenant, j\'ai toujours viré manuellement le \"Java Deployment Toolkit\" après chaque installation (inutile pour nous autres \"petits\" utilisateurs)
Idem pour jqs et \"Java console\" dont les applets java se passent bien pour fonctionner, d\'ailleurs...
Bon après-midi

bonjour quick,

Idem pour jqs et \"Java console\"

sur FF, dans Outils, je vois :
> java console
> console d\'erreurs
les deux ont d\'activés (cochés):
barre de menus, barre de navigation et barre personnelle.
Peux-tu me dire comment m\'en défaire ?
suffit-il de décocher à gauche ?
> jqs ? (je ne sais pas ce que c\'est)
merci

Bonjour maitia,

Crois-tu que le moment est bien choisi, avec ton pc qui marche sur trois pattes

De toute manière, je ne saurais te dire de mémoire, il faudrait que j\'aie tous les éléments à supprimer sous les yeux, donc attendre que j\'installe la prochaine version afin de noter les manips
 

ok quick,
je continue à rouler tout doux sur mon tricycle ..

juste cette image qui dit que j\'ai tout ça

à la prochaine, bon week-end

salut
Pour ceux que ça intéresse
contrôle

maitia évite

jllg, tu parles bien du post de moe du 17 avr 2010 à 18:31 ?

Quel est le pb ?

pas de problème quick,c\'est juste une info qui permet de voir si la faille a bien été corrigée pour ceux qui conserve le module \"deployment toolkit\"

maitia, pour répondre à ta question : l\'option présente dans ta capture sert à choisir où tu veux voir un raccourci vers \"Java console\".
En l\'occurence, chez toi, \"java console\" apparaît dans les trois éléments cochés (dans la barre de menus, la barre de navigation et la barre personnelle).
Je ne saurais t\'en dire plus, ayant viré \"Java console\" des modules complémentaires.
Le seul élément de Java utile pour nous (simples utilisateurs d\'internet) est le plugin

[edit] et bien sûr son équivalent IE (et Opera, Safari , etc)
 

pas de problème quick,c\'est juste une info qui permet de voir si la faille a bien été corrigée pour ceux qui conserve le module \"deployment toolkit\"

ok, malcomprenette de ma mart, sorry

mouais mais mal vendu de la mienne

Pour les intéressés,

J\'ai trouvé un copain bidouilleur qui a la même vision des choses que moi



A part le point 5 que je trouve personnellement superflu, c\'est à peu près identique.

Maitia, inutile pour toi de t\'y mettre tant que ton patient est en convalescence, tout serait à recommencer à sa guérison

mouais mais mal vendu de la mienne

padprob

Maitia, inutile pour toi de t\'y mettre tant que ton patient est en convalescence, tout serait à recommencer à sa guérison

surtout que je suis devenue son infirmière,
et qu\'il risque de me demander de nous \"pacser\"..,
vu que je dois prendre bien soin de lui ..,
et peut-être \"Ad Vitam Aeternam\"..

merci pour le lien quick

merci pour le lien quick

de rien

et peut-être \"Ad Vitam Aeternam\"..

non, je ne crois pas, y a toujours espoir de guérison

bonsoir tout le monde,

Merci pour les infos, pour java c\'était OK! Quand à Java Deployment Toolkit sur FF, merci jllg et sous IE, après \"fix.reg\" c\'est bon également après avoir cliqué sur ton lien et \"Si rien ne se passe, c\'est OK\"

Je suis toujours dans la course!



A + ...