Oracle firması, geçtiğimiz günlerde keşfedilen Java açığını gidermek için olağan yama döngüsü dışına çıktı ve acele bir güncelleme yayınladı. Söz konusu açık ava Runtime Environment (JRE) 1.7 sürümü ve sonraki sürümlerde yer almaktaydı ve saldırganlar bu açık sayesinde neredeyse tüm web tarayıcılarındaki Java eklentisi aracılığıyla uzaktan kod çalıştırabiliyorlardı. Oracle tarafından yayınlanan yama sadece JRE 1.7’nin kurulu olduğu sistemleri hedeflemekte.
Oracle tarafından yapılan açıklamada, yayınlanan yama paketinin 3 farklı Java 7 açığını hedeflediği bildiriliyor. Oracle, söz konusu açıkların oldukça yüksek bir risk taşıyor olmalarından ötürü olağan yama döngüsü dışına çıktıklarını ve acilen bir güvenlik çözümü sunmak durumunda kaldıklarını duyuruyor. Oracle’ın yazılım güvenliği yöneticilerinden Eric Maurice imzasıyla yayınlanan bir blog yazısında, söz konusu yamaların yalnızca tarayıcı bazlı Java kullanımını hedef aldığı ve Java’nın masa üstü uygulamaları veya sunucu uygulamalarını hedeflemediği vurgulanıyor.
Oracle yaptığı açıklamada bulunan Java açıklarının doğrulama gerektirmeden, yani bir kullanıcı adı ve parolaya ihtiyaç duymaksızın, uzaktan erişimle kullanılabileceğine dikkat çekiyor. Oracle firması üstelik bu açıkların, zararlı yazılımların yüklü olduğu bir web sayfası aracılığıyla rahatlıkla ve fark edilmeden istismar edilebileceğini dolayısıyla da acilen bir yama yayımlanmasının şart hale geldiğini açıklamakta.
Bu hafta içinde konuyla ilgili bir açıklama yayınlayan güvenlik uzmanları, Oracle’dan acilen bir yama beklenmediğini dolayısıyla da kullanıcıların tarayıcı eklentilerinden Java’yı kaldırmaları gerektiğini duyurmuşlardı. Şimdi ise buna gerek kalmamış durumda. Oracle yetkilileri, Windows kullanıcılarının çıkartılan yamayı Java Automatic Update (otomatik güncelleştirmeler) özelliği sayesinde edinebileceklerini veya resmi Java sitesinden Java SE 7 Update 7 güncellemesini edinebileceklerini açıklamaktalar.