Protection des utilisateurs de Firefox contre la vulnérabilité de Java (MÀJ)
Java a encore des problèmes de sécurité. Mais, depuis Firefox 17, Mozilla dispose d’une arme pour protéger à distance ses utilisateurs des plugins vulnérables. Voici un billet du blog sécurité de Mozilla qui donne plus de détails :
Mise à jour – 18 janvier 2013
Mozilla étend le Click To Play à Java 7u11 en raison de rapports de code d’exploit disponibles pour 7u11 et de l’information selon laquelle tous les éléments du bogue original de Java n’ont pas été pleinement pris en compte par Oracle dans le correctif 7u11.
Mise à jour – 13 janvier 2013
Oracle a publié une mise à jour pour traiter cette vulnérabilité. Lisez-en plus ici et téléchargez les mises à jour ici.
Problème
Mozilla est au courant d’une vulnérabilité de sécurité dans la version actuelle de Java (Java 7 Update 10) qui est exploitée activement et affecte n’importe quel navigateur utilisant le plugin Java. Les utilisateurs de Firefox peuvent être vulnérables à ce problème s’ils ont le plugin Java installé dans leur navigateur. Des informations sur la façon de vérifier quels plugins sont installés peuvent être trouvées ici.
Impact
Un attaquant pourrait exploiter cette vulnérabilité pour exécuter un logiciel malveillant sur l’ordinateur de la victime. Cette vulnérabilité est activement utilisée dans des attaques et le code de l’exploit malveillant est également disponible dans les kits d’exploits communs.
État
Il n’existe pas de correctif actuellement disponible pour ce problème en provenance d’Oracle. Pour protéger les utilisateurs de Firefox, nous avons activé Click To Play pour les versions récentes de Java sur toutes les plateformes (Java 7u9, 7u10, 6u37, 6u38). Les utilisateurs de Firefox avec d’anciennes versions de Java sont déjà protégés par le blocage des plugins existant de ou les défenses Click To Play.
La fonctionnalité Click To Play garantit que le plugin Java ne sera pas chargé sauf si un utilisateur clique spécifiquement pour activer le plugin. Cela protège les utilisateurs contre l’exploitation de type drive-by, une des techniques d’exploits les plus couramment utilisés pour compromettre les usagers vulnérables. Click To Play permet également aux utilisateurs d’activer le plugin Java sur une base de site par site s’ils ont absolument besoin du plugin Java pour le site.

Crédit Mozilla
Capture de démo de Click To Play
Informations supplémentaires
Nous encourageons les utilisateurs à toujours garder leurs plugins à jour. Visitez le site Web de vérification des plugins pour mettre à jour les plugins dès maintenant.
Des informations pour désactiver complètement le plugin Java peuvent être trouvées sur la page suivante : Comment désactiver les applets Java.
Michael CoatesDirecteur de l’assurance sécurité
Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.
Sources et références
- Mozilla Security Blog, Protecting Users Against Java Vulnerability, 11 janv. 2013, Michael Coates
- Mozilla Add-ons Blog, Protecting Users Against Java Vulnerability, 11 janv. 2013, Jorge Villalobos
Commentaires
Ok mais comment faire ? J’ai firefox 18 et je ne vois pas cette option.
C’est caché ?
@Seb : oui c’est automatique. Quand tu visites un site avec un plugin mis sur la liste de blocage par Mozilla, l’emplacement du plugin dans la page est grisée et un panonceau surgit de la barre d’adresse de Firefox comme on peut voir sur la capture.
Bonjour.
Je travaille sous Windows Vista avec Firefox 17.01. Hier, j’ai effectué la mise à jour de mon jdk Java 6 up 37 vers le jdk Java 6 up 38… et Firefox m’a bloqué le plugin ! Heureusement, celui-ci pouvait être réactivé sans problème, mais dans l’onglet plugins des modules complémentaires, on voit un avertissement indiquant que le plugin Java 6 up 38 est susceptible de présenter des problèmes de sécurité. J’ai consulté la liste des plugins Java bloqués sur https://addons.mozilla.org/fr/firef… et je vois qu’outre la version 7, la version 6 est impactée également pour les updates 31 à 38.
Or je lis sur http://www.kb.cert.org/vuls/id/6256… que les récents problèmes de sécurité pour lesquels Oracle vient de sortir un patch en urgence ne concernent que la version 7 de Java. Citation extraite du lien en question:
“The invokeWithArguments method was introduced with Java 7, so therefore Java 6 is not affected.”
Alors ? Pourquoi la version 6 est-elle bloquée ?
@ricahrd_g :
Il te faut passer à Firefox 18 qui est aussi une mise à jour de sécurité.
Si la version 6 a été précédemment bloquée, c’est qu’elle était alors affectée par une faille de sécurité (une autre).
Le mieux est de désactiver Java et de ne le réactiver (la dernière version) qu’en cas de nécessité sur un site de confiance.
@Mozinet :
Bonjour.
Merci pour la réponse. De fait, je viens de passer à Firefox 18 aujourd’hui.
Pour ce qui est du plugin Java, il me sert surtout à faire tourner en interne un code de calcul personnel qui peut être lancé aussi bien en tant qu’application en ligne de commande qu’en tant qu’applet dans Firefox. En applet, il doit être signé car il est amené à lire et à écrire des données sur le disque de l’utilisateur, mais seulement sur demande explicite de l’utilisateur. L’avantage du mode applet, c’est de me permettre de mettre ce code en libre accès sur l’intranet de mon entreprise. Et il ne faut pas mésestimer l’intérêt de Java pour le calcul scientifique: quelle que soit la machine où le code s’exécute, les résultats sont identiques jusqu’à la dernière décimale, ce qui n’est pas le cas avec du Fortran, du C ou du C++.
Donc, je retiens que la version 6 avait d’autres problèmes que la version 7. Pourtant, dans mon entreprise, Firefox est en version 10.0.11 sur nos postes de travail Linux avec le plugin Java 6 update 34 pour lequel aucun avertissement de sécurité n’est affiché alors que ce plugin figure bien dans la liste des plugins bloqués pour Linux (31 à 38) ! Est-ce parce que la version 10 de Firefox ne comporte pas le système “Click and Play” (que je trouve excellent) ?
@ricahrd_g :
Non, elle a été introduite dans Firefox 17 qui est aussi une version ESR.