Oracle son günlerde açığa çıkan 2 güvenlik açığını yamayan Java 7 Güncelleme 11’i dün yayınladı. Güncellemeyi Burayı tıklayarak ulaşacağınız sayfadan yükleyebilirsiniz.
Yamaların default Java Güvenlik seviyesini “Ortadan Yükseğe (Medium to High)” değiştirdiği de raporlanıyor. Bunun anlamı kullanıcılar şimdi, herhangi bir imzasız Java applet ya da Java Web Start uygulaması başlatmadan önce uyarılacaklar. Böylece kendiliğinden yüklemeler engellenmiş olacak. Oracle açıklamasında bu konuda şunlar belirtiliyor;
İmzasız Java web uygulamalarının hangisini çalıştıracağınızı belirliyor. Daha önceleri eğer en son güvenli Java versiyonuna sahipseniz, applet ve web start uygulamaları herzamanki gibi çalışıyordu. Ama güvenlik ayarı yüksek (High) olduğunda, herhangi bir imzasız uygulamayı çalıştırmadan önce sizi uyaracak. Böylece gizli sızmaların önüne geçilmiş olacak.
Perşembe günü Amerikan Bilgisayar Olağanüstü Durum ekibi (Computer Emergency Readiness Team – US-CERT) bir açık raporu yayınlamıştı. Raporda, yetkisiz saldırganların Java 7 Güncelleme 10 üzerinden yönetim uzaktan ele geçirebilecekleri bir açık keşfedildiği belirtilmişti. Bu kritik açık sayesinde, kurban makinası ele geçirilebiliyordu. Apple kendi kullanıcılarını korumak için OS X 10.6 üzerinde Java 7’yi bloklamaya başlamıştı.
Cuma günü, sıfırıncı gün açığının, Oracle’ın açığı tam adreslememesi nedeniyle meydana geldiği ortaya çıktı. Daha önce pek çok Java açığını raporlayan Security Explorations firması, ağustos 2012’de, Oracle’ı Reflection API konusunda uyardığı ama firmanın ekim 2012’de çıkardığı yamanın tam çözüm olmadığı bildirildi.
Cuma günü, Mozilla da Firefox’da tüm Java versiyonlarını bloklama listesine aldı. Blokladığı versiyonlar Java 7 Update 9, Java 7 Update 10, Java 6 Update 37 ve Java 6 Update 38 idi. Daha eski Java versiyonları da zaten başka açıklar nedeniyle bloklama listesindeydi.
Daha sonra cumartesi günü Oracle, Java 7’de sıfırıncı gün açığını kabul etti ve yamanın hemen yayınlanacağı bilgisi verdi. Pazar günü de yayınladı.