En plus Oracle prétend que la version 6 n'est pas affectée, mais juste parce qu'il a considéré le chemin utilisé par les attaques en cours qui ont commencé sur Internet en janvier (comme Nuclear Pack, qui permet une attaque similaire au CSS : sortir du domaine du site Internet pour entrer dans le domaine local). Apparemment elle consiste à utiliser les APIs de Reflexion de façon récursive pour instantier un chargeur de classe qui passe outre (dans le contexte récursif instancié) les barrières d'isolation du chargeur de classes (notamment les restrictions inter-domaines imposées par une applet dans un navigateur).<div>
<br></div><div>Pourtant le CVE américain a bien reçu des indications permettant aussi à Java 6 d'être aussi concerné (mais les détails pour l'instant son cachés, sans doute en attendant le patch, ou parce que pour l'instant les attaques en cours n'ont pas réussi à passer la barrière d'isolation du ClassLoader avec succès).<br>
<br>Maintenant mon premier message était clair et donnait l'info, faites en ce que vous voulez. Mais les attaques ont déjà commencé :</div><div><a href="https://threatpost.com/en_us/blogs/nasty-new-java-zero-day-found-exploit-kits-already-have-it-011013">https://threatpost.com/en_us/blogs/nasty-new-java-zero-day-found-exploit-kits-already-have-it-011013</a></div>
<div><br></div><div>(et certains analystes pensent que le patch 7u11 actuel proposé par Oracle n'est pas assez complet et ne couvre pas tous les cas, mais c'est juste pour réagir à l'urgence des attaques en cours, ils sont en train de le scruter dans les détails. En attendant le CVE considère encore que les version 6 peuvent être affectées, même si Oracle dit pour l'instant le contraire pour ne pas révéler trop de détails à ceux qui voudraient trouver une autre façon d'utiliser le bogue malgré la verrue)<br>
<div><br><div class="gmail_quote">Le 16 janvier 2013 00:23, Philippe Verdy <span dir="ltr"><<a href="mailto:verdy_p@wanadoo.fr" target="_blank">verdy_p@wanadoo.fr</a>></span> a écrit :<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br><br><div class="gmail_quote">Le 16 janvier 2013 00:13, Vincent Privat <span dir="ltr"><<a href="mailto:vincent.privat@gmail.com" target="_blank">vincent.privat@gmail.com</a>></span> a écrit :<div class="im"><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">Désolé de te contredire Philippe, mais il me semble que c'est assez clair chez Oracle:<div><br></div><div><a href="https://blogs.oracle.com/security/entry/security_alert_for_cve_2013" target="_blank">https://blogs.oracle.com/security/entry/security_alert_for_cve_2013</a><br>
</div><div><br></div><div>"<span style="line-height:18px;font-size:12px;font-family:Calibri">These vulnerabilities, which only affect Oracle Java 7 versions".</span></div><div><span style="line-height:18px;font-size:12px;font-family:Calibri"><br>
</span></div><div><span style="line-height:18px;font-size:12px;font-family:Calibri">Et si l'on prend le CVE:</span></div><div><font color="#000000" face="Calibri"><span style="font-size:12px;line-height:18px"><a href="http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html" target="_blank">http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html</a></span></font><br>
</div><div><font color="#000000" face="Calibri"><span style="font-size:12px;line-height:18px"><br></span></font></div><div><font color="#000000" face="Calibri"><span style="font-size:12px;line-height:18px">Il est justement dit explicitement:</span></font></div>
<div><strong style="line-height:16px;font-size:12px;font-family:arial,helvetica,sans-serif;list-style:none;margin:0px;padding:0px">Note: JDK and JRE 6, 5.0 and 1.4.2, and Java SE Embedded JRE releases are not affected.</strong><font color="#000000" face="Calibri"><span style="font-size:12px;line-height:18px"><br>
</span></font></div><div><strong style="line-height:16px;font-size:12px;font-family:arial,helvetica,sans-serif;list-style:none;margin:0px;padding:0px"><br></strong></div><div><span style="line-height:16px;font-size:12px;font-family:arial,helvetica,sans-serif;list-style:none;margin:0px;padding:0px">Donc comme d'habitude avec tes propos, il faut les prendre avec des pincettes et toujours les vérifier. Surtout quand tu t'inscris en faux.</span></div>
<div></div></div></blockquote></div></div><br><div>Oracle dit le CONTRAIRE dans sa version Matrix en bas de page !</div><div><a href="http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html#AppendixJAVA" target="_blank">http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html#AppendixJAVA</a></div>
<div><br></div><div>Il marque "<span style="text-align:center;font-size:12px;font-family:arial,helvetica,sans-serif">7 Update 10 and earlier" (cela inclut donc la version 6) et "</span><span style="line-height:14px;font-size:12px;font-family:arial,helvetica,sans-serif">Applies to client deployment of Java only" (bref ne concerne que JRE pas la version serveur, probablement parce que le bogue est dans l'intégration avec le navigateur en tant que plugin et qu'il n'y a pas ce composant dans un serveur)</span><span style="text-align:center;font-size:12px;font-family:arial,helvetica,sans-serif">.</span></div>
<div><span style="text-align:center;font-size:12px;font-family:arial,helvetica,sans-serif">Le JDK (et aussi Netbeans) est concerné aussi puisqu'il inclut le JRE pour le runtime.</span></div>
<div><span style="text-align:center;font-size:12px;font-family:arial,helvetica,sans-serif"><br></span></div>
</blockquote></div><br></div></div>