mercredi 24 novembre 2004
Applets Java dangereux
Par Mozinet, mercredi 24 novembre 2004 à 21:54 :: Navigateurs
Tous les navigateurs sur toutes les plateformes qui embarquent la machine virtuelle Java de Sun sont vulnérables à une faille jugée critique par K-Otik. Selon Sun, « une vulnérabilité dans le plugin Java pourrait permettre à un applet [petit programme écrit en Java étendant les capacités du navigateur] de surpasser ses privilèges, à travers le JavaScript appelé dans le code Java, y compris lire et écrire des fichiers avec les privilèges de l'utilisateur faisant fonctionner l'applet. » Des vulnérabilités similaires ont été largement exploitées par le passé par des sites Web malicieux, selon The Register.
Les versions vulnérables sont les versions de SDK / JRE 1.3.1_12, 1.4.2_05 et inférieures et les versions 1.4.1 et 1.4.0. Elles doivent être mises à jour vers la version 1.4.2_06. Les internautes n'ont besoin d'installer que le JRE (Java Runtime Environment).
La machine virtuelle Java peut être désactivée dans les options Internet d'Internet Explorer. Pour Firefox, il s'agit de décocher la case Activer Java dans le volet Fonctionnalités Web des Options (menu Outils) et pour la suite Mozilla, dans le volet Avancé des Préférences (menu Edition). Pour Opera 7,5x, presser la touche F12 et décocher Activer Java. Evidemment les navigateurs basés sur ces logiciels, comme Netscape ou les surcouches d'IE, sont aussi concernés par ce problème.
Pour Netscape, Mozilla et Firefox, la Prefbar permet d'avoir une barre d'outils supplémentaire qui peut contenir une case à cocher pour activer et désactiver aisément le Java. Ainsi, il est possible de laisser le Java désactivé et de ne l'activer qu'en cas d'applet intéressant. La machine virtuelle ne se lance donc plus pour des fonctions mineures sans intérêt pour soi.
K-OTik, Sun Java Plugin Arbitrary Package Access Vulnerability, 23 nov. 2004, Jouko Pynnonen
Sun, #57591 : Security Vulnerability With Java Plug-in in JRE/SDK, 22 nov. 2004
The Register, Poison applet peril affects IE, Opera and Firefox, 24 nov. 2004, John Leyden