Günümüzde neredeyse bütün bilgisayarda bulunan Java’da keşfedilen yeni bir açık tehlike saçıyor. Bu açık ayrıca sadece PC’lerde (personnel computer-kişisel bilgisayar) değil Linux ve OSx’inde etkilendiği tespit edilmiş durumda.
Açık Java Runtime Environment (JRE) 1.7 ve sonraki sürümlerinde bulunuyor. 1.6 ve önceki sürümler ise açıktan etkilenmiyor. Ancak eski sürümlere dönülmesi tavsiye edilmiyor. Peki bu açık nasıl çalışıyor.
Java Runtime Environment (JRE) 1.7 kullanıcıların Java uygulamalarını tek başına çalıştırmasına izin vermekte.Ayrıca son gelen sürümle birlikte Java JRE plug-in ile birlikte kendi güvenlik yöneticisini (security manager) sunmakta. Java uygulaması çalışmaya başlarken tarayıcı yada Java Web Start plugin tarafından sunulan bu yönetici ile birlikte çalışır. Oracle dökümanlarına göre:
Güvenlik yöneticisi kurulu ise, kullanılan kod ilk önce güvenlik yöneticisinin checkPermission metodu ile birlikte RuntimePermission(“setSecurityManager”) permission’ı mevcut güvenlik yöneticisini değiştirmenin güvenli olup olmadığını kontrol etmek için çalışır. Bu işlem de de Java SecurityException vermesine yol açabilir.Bu açıklık JRE’nin güvenlik yöneticisine ulaşamadığı zaman kendi güvenlik yöneticisi ayarlarını kullanmasına ve değiştirmesine izin verir. Bu da Java’nın bypass edilmesiyle sonuçlanır.
Açığın oluşturduğu riskler neler?
- Bu açıklık şu anda aktif olarak kullanılmakta ve açıklığın kullanıma ilişkin kodlar internette serbest bir şekilde dolaşmakta.
- Kullanıcıyı ikna ederek özellikle yaratılmış bir html sayfası üzerinden, saldırgan uzaktan kurban sistem üzerinde rastgele kod çalıştırabilir ve sistemi ele geçirmek için torjan rootkit gibi çeşitli kötü amaçlı yazılımlar yükleyebilir.
Açıktan nasıl korunabiliriz?
Şimdilik Oracle tarafından sunulan bir yama yok. Önerilen ise Java’yı yama çıkana kadar tamamen kapatmak. Java tarayıcı eklentisini kapatmak kötü niyetli web sayfalarının bu açıklığı kullanmasına engel olabilir.
- Apple Safari: Java web eklentisi nasıl kapatılır?
- Firefox: Java Applet nasıl kapatılır?
- Microsoft Internet Explorer: Windows kontrol panelinde, java ikonu ile açılır. “Java” tab’ı seçilir ve göster (view) basılır ve bütün açık (enabled) konumdaki JRE versiyonları kapatılır. Ayrıntılı bilgi için tıklayınız.
- Chrome: Java Nasıl Kapatılır?
Onuralp Öznalbant