En plus Oracle prétend que la version 6 n'est pas affectée, mais juste parce qu'il a considéré le chemin utilisé par les attaques en cours qui ont commencé sur Internet en janvier (comme Nuclear Pack, qui permet une attaque similaire au CSS : sortir du domaine du site Internet pour entrer dans le domaine local). Apparemment elle consiste à utiliser les APIs de Reflexion de façon récursive pour instantier un chargeur de classe qui passe outre (dans le contexte récursif instancié) les barrières d'isolation du chargeur de classes (notamment les restrictions inter-domaines imposées par une applet dans un navigateur).
Pourtant le CVE américain a bien reçu des indications permettant aussi à Java 6 d'être aussi concerné (mais les détails pour l'instant son cachés, sans doute en attendant le patch, ou parce que pour l'instant les attaques en cours n'ont pas réussi à passer la barrière d'isolation du ClassLoader avec succès). Maintenant mon premier message était clair et donnait l'info, faites en ce que vous voulez. Mais les attaques ont déjà commencé : https://threatpost.com/en_us/blogs/nasty-new-java-zero-day-found-exploit-kits-already-have-it-011013 (et certains analystes pensent que le patch 7u11 actuel proposé par Oracle n'est pas assez complet et ne couvre pas tous les cas, mais c'est juste pour réagir à l'urgence des attaques en cours, ils sont en train de le scruter dans les détails. En attendant le CVE considère encore que les version 6 peuvent être affectées, même si Oracle dit pour l'instant le contraire pour ne pas révéler trop de détails à ceux qui voudraient trouver une autre façon d'utiliser le bogue malgré la verrue) Le 16 janvier 2013 00:23, Philippe Verdy <verd...@wanadoo.fr> a écrit : > > > Le 16 janvier 2013 00:13, Vincent Privat <vincent.pri...@gmail.com> a > écrit : > > Désolé de te contredire Philippe, mais il me semble que c'est assez >> clair chez Oracle: >> >> https://blogs.oracle.com/security/entry/security_alert_for_cve_2013 >> >> "These vulnerabilities, which only affect Oracle Java 7 versions". >> >> Et si l'on prend le CVE: >> >> http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html >> >> Il est justement dit explicitement: >> *Note: JDK and JRE 6, 5.0 and 1.4.2, and Java SE Embedded JRE releases >> are not affected.* >> * >> * >> Donc comme d'habitude avec tes propos, il faut les prendre avec des >> pincettes et toujours les vérifier. Surtout quand tu t'inscris en faux. >> > > Oracle dit le CONTRAIRE dans sa version Matrix en bas de page ! > > http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html#AppendixJAVA > > Il marque "7 Update 10 and earlier" (cela inclut donc la version 6) et > "Applies > to client deployment of Java only" (bref ne concerne que JRE pas la version > serveur, probablement parce que le bogue est dans l'intégration avec le > navigateur en tant que plugin et qu'il n'y a pas ce composant dans un > serveur). > Le JDK (et aussi Netbeans) est concerné aussi puisqu'il inclut le JRE pour > le runtime. > >
_______________________________________________ Talk-fr mailing list Talk-fr@openstreetmap.org http://lists.openstreetmap.org/listinfo/talk-fr
