Faille java multiplateformes

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
19
mar.
2002
Java
Sun vient d'annoncer une faille de sécurité présente dans toutes ses JRE existants. Elle se trouve dans le "Bytecode verifier" et permet à une applette malicieuse de faire un peu tout et n'importe quoi sur votre machine.

Conclusion: tous à vos patchs, ou bien désactivez java au niveau de votre butineur habituel si vous naviguez sur des sites douteux...

Aller plus loin

  • # Encore une JVM non fiable

    Posté par  (site web personnel) . Évalué à 3.

    Quand aura t-on une vraie JVM bien fiable, sans trou de sécurité et sans plantage dans les grosses applis ?
    Faut croire que c'est pas simple, car les ténors du soft n'ont toujours pas réussi dans ce domaine.
    C'est dommage car le langage est vraiment sympa... l'aspect multi plate-forme en particulier est bien pratique.

    • [^] # Re: Encore une JVM non fiable

      Posté par  (site web personnel) . Évalué à 10.

      à vue d'oreille, je dirais le même jour que sera dispo une libc sans trou de sécurité et sans plantage, qu'un KDE ou un Gnome sans aucun bogue, qu'une appli qui résoud tous les problèmes de l'univers et qu'une distribution qui fera l'unanimité... Lire JAMAIS

      • [^] # Re: Encore une JVM non fiable

        Posté par  (site web personnel) . Évalué à 10.

        Et oui, rien n'est parfait, l'erreur est humaine ... Le tout s'est de trouver et de corriger les failles avant que des gens mal intentionnés ne les exploitent ...

        Voyons le bon coté des choses : tant qu'il y aura des bugs, on aura du boulot ;-)

      • [^] # Re: Encore une JVM non fiable

        Posté par  (site web personnel) . Évalué à 6.

        "Bienheureux celui qui n'attend rien car il n'aura pas plus"
        Désolé, j'attend des softs qui fonctionnent. Pas des softs SANS BUG (moi aussi je sais faire des balises HTML), mais simplement qui donnent entièrement satisfaction.
        J'attend donc une JVM qui donne entièrement satisfaction, ce qui n'est pas le cas quand on relève des trous de sécurité dedans. De plus une appli qui donne satisfaction ne doit pas forcément résoudre tous les problèmes de l'univers (approche Unix, de nombreux softs qui résolvent bien chacun un petit problème).
        J'ajoute que si on n'a pas l'espoir d'arriver un jour à une situation meilleure, autant arrêter tout immédiatement. C'est pour ça que je suis pas pour que Gnome continue ;-).

        • [^] # Re: Encore une JVM non fiable

          Posté par  (site web personnel) . Évalué à 1.

          "j'attend des softs qui fonctionnent. (...) qui donnent entièrement satisfaction."

          Des failles de sécurité, il y en a eu, il y en a et il y en aura dans la glibc, dans apache, dans samba, dans openssh, dans la zlib, dans ncurses, etc, etc. Maintenant essaie d'utiliser un système GNU/Linux en virant tous les paquets qui ont eu des failles de sécurité sur l'année écoulée... (déjà sans glibc...).

          Je n'ai pas dis qu'il ne fallait pas améliorer ces logiciels (et ma signature est une signature, qui est la même quel que soit le commentaire même si elle ne te plaît pas dans le cas présent), j'ai juste dit qu'un logiciel 0 bogue, 0 faille c'est rare (et pas facile à prouver). C'est valable pour une JVM ou pour un autre logiciel. D'ailleurs on ne peut pas dire avant-hier cette JVM me donnait satisfaction, mais depuis que je sais qu'elle a une faille, c'est une daube. Il y a un trou, il faut le corriger ; c'est pas une faille béante intrinsèque qui ne peut être comblée.

        • [^] # Re: Encore une JVM non fiable

          Posté par  . Évalué à -1.

          ...j'attend des softs qui fonctionnent...qui donnent entièrement satisfaction.

          heu.... Hello world ?

    • [^] # Re: Encore une JVM non fiable

      Posté par  . Évalué à 10.

      Ya pas que SUN qui pond des JRE .
      Ya IBM qui en fait une _très_ bonne.
      Ya Blackdown ... yen a d'autres ....

    • [^] # Re: Encore une JVM non fiable

      Posté par  . Évalué à 4.

      Quand aura t-on une vraie JVM... LIBRE ... bien fiable, sans trou de sécurité et sans plantage dans les grosses applis ?

  • # Le lien vers SecurityBugware

    Posté par  . Évalué à -5.

    Je ne sais pas si mettre un lien vers securityBugware pour annoncer une vulnérabilité est une très bonne idée.

    Même si je pense que beaucoup connaissent ce site, ce n'est pas la peine d'encourager sa visite à chaque alerte.

    • [^] # Re: Le lien vers SecurityBugware

      Posté par  . Évalué à 6.

      En quoi est-ce un problème ?

    • [^] # Re: Le lien vers SecurityBugware

      Posté par  . Évalué à 7.

      Mais le but de ce genre de sites, c'est pas justement de permettre aux gens de se renseigner dès qu'une nouvelle attaque sort, pour s'en protéger!

      • [^] # ah ?

        Posté par  . Évalué à 4.

        perso je l'utilise plus pour regarder les exploits possibles des vulnérabilités depuis que hack.co.za est fermé

        Pour être informé j'utilise plus securityfocus, le SANS, le CERT, les mailings listes dédiées et autres...

        Je vous rappelle que lors de la diffusion de l'émission d'Arte, tout le monde s'est soulevé pour contester l'amalgame entre 'les pirates' du net et la communauté GNU. C'est dommage de ne pas faire d'effort pour que celà ne se reproduise pas.

        • [^] # Re: ah ?

          Posté par  . Évalué à 5.

          La securite par l'obscurite n'est pas meilleure pour autant. L'information doit etre partagee par tous et non par quelques inities et les "pirates", ces derniers abusant bien des failles pas assez conues du grand public.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.