Güncelleme #2: (03.09.2012) Sil baştan! Java’nın açığı kapamak için sürdüğü yamada aynı hataya bağlı açık keşfedildi. Henüz internette açığın bu yeni türevini kullanan kötü niyetli kod yakalanmadığından, Java’nın güvenirliliğini test etmek için önerdiğimiz “Is Java Exploitable?” sitesi kırmızı alarm vermiyor ve zaten geçen hafta yama çıkartarak programını bozan Oracle’ın ne yapacağı bilinmiyor. Kullanmıyorsanız Java’yı kaldırmanızı, kullanıyorsanız makalede yazılan önlemleri tekrar almanızı öneriyoruz.
Güncelleme: Java, senede 3 sürüm kuralını bozdu ve acil bir sıfır-gün yaması çıkardı. Windows içinden otomatik yükseltmeyi beklemek istemiyorsanız, güvenlik açığınızı kapatmak için Java’nın son sürümünü indirebilirsiniz. İndirip kurduktan sonra, bu siteden tarayıcınızın güvenli olup olmadığını kontrol etmeyi unutmayın.
Java’da bu haftanın başında ortaya çıkan ve bir türlü kontrol altına alınmayan açık, yaygın saldırılara kapı açmaya başladı. Java 1.6’dan daha yeni sürümlerdeki güvenlik açığını kullanan saldırganlar, girdiğiniz bir siteden bilgisayarınıza Java uygulaması bile şart olmayan bir kod yükleyebilir ve bilgilerinizi çalmaktan bilgisayarınıza zarar vermeye kadar herhangi bir şey yapabilir. Kullanıcıların Java’yı tarayıcılarından kaldırmaları salık veriliyor.
Öncelikle, bilgisayarınıza kurulan Java ve onun tarayıcılarınıza eklediği eklentileri, neredeyse her sitede bulunan JavaScript ile aynı şey değil. O yüzden interneti kırmayacaksınız! Java, Open Office gibi bazı kilit programların veya oyunların kurumu sırasında sisteminize otomatik olarak yüklenmiş olabilir. Siz de bazı ileri seviye Java kullanan siteleri kullanmak için kurmuş olabilirsiniz; ama büyük ihtimalle Java bilgisayarınızda mevcutsa, orada olmasının bir sebebi vardır. Kullanmadığınıza eminseniz kurumu kaldırın. Ama güvenlik açığı saldırıları web sitelerinden kaynaklandığı için, günlük kullandığınız tarayıcıdan kaldırmak yeterli olacaktır.
Java’nın sahibi Oracle, normal yama döngüsü dışında neredeyse hiç yama sürümü yapmadığı ve bir dahaki sürüm günü Ekim ortasına denk geldiği için, Java’yı kullanıcı olarak biz kaldırmalıyız. Gelin adım adım bu güvenlik açığını kapatalım.
- Öncelikle şu siteye giderek tarayıcınızın tehdit altında olup olmadığını kontrol edin: Isjavaexploitable.com
- Eğer bilgisayarınızda Java 1.6 sonrası yoksa, harika. Varsa, Java’yı ana tarayıcıdan kaldırmalısınız. Kaldırdıktan sonra Java’ya ihtiyaç duyan ve güvendiğiniz bir site karşınıza çıkarsa, sadece o siteyi kullanmak için yedek tarayıcınıza geçebilir, sonra tekrar Java’sız tarayıcınıza dönebilirsiniz.
Mozilla Firefox için: Firefox menüsünden Eklentiler paneline girin. Yan Uygulamalar altında bulduğunuz herhangi bir Java eklentisini etkisizleştirin.
Google Chrome için: Ayarlar’ı açın ve arama kutusuna “Java” yazın. Sarı bir kutunun işaret ettiği İçerik Ayarları paneline girin. Aşağıya inerken göreceğiniz Eklentiler kısmında, “Ayrı ayrı devre dışı bırak” seçeneğini seçip, Java’yı kapatın.
Safari için: Tercihler’e girin ve Güvenlik sekmesine geçiş yapın. “Java’yı Etkinleştir” düğmesini kaldırın (aman, JavaScript değil).
Internet Explorer için: Bizim tavsiyemiz Internet Explorer’ı bu süreçte ana tarayıcı olarak tercih etmemeniz. Bu tarayıcı Windows’un içine entegre olduğundan Java’yı tamamen sistemden kaldırmadan Internet Explorer’dan kaldırmak çok zor. Bunun biraz daha az radikal yöntemi, 1.6’dan yeni sürümleri etkinsizleştirmek. Bunun için Kontrol Paneli’nden Java’yı açıp, Java sekmesine gidin. Buradaki tek tuş olan Göster seçeneği ile bilgisayarınızdaki aktif Java’ları gösteren panele gelin ve buradan teker teker 1.6 sonrası Java sürümlerini kapatın.
Yalnız yukarıdaki çözüm özellikle bazı Vista sürümlerinde işlemeyebilir. Alternatif olarak, Başlangıç menüsüne regedit.exe yazıp, Kayıt Defteri Düzenleyicisi’ni açın. Sonra:
- HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Plug-in\\UseJava2Iexplorer girdisini 0 yapın.
- Eğer sistem 64-bit ise, HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft\Java Plug-in\\UseJava2Iexplorer girdisini 0 yapın.
Ardından yine Başlangıç menüsünden javacpl.exe veya Kontrol Paneli Java menüsünü sağ tıklayarak Yönetici İzni ile çalıştırın. En sağdaki Advanced Gelişmiş sekmesine gelin ve Varsayılan Tarayıcılar İçin Java menüsünü açın. Internet Explorer’ın üzerine gelin ve boşluk tuşuna basarak düğmeyi temizleyin.
Oracle yeni bir Java sürümü çıkardığında veya tehlikenin geçtiği haberini aldıktan sonra, yine yukarıdaki adımları tekrarlayarak bütün ayarları eski haline getirebilirsiniz (Kayıt Defteri’ni değiştirdiyseniz 0’ları 1 yapmayı unutmayın). Güvenli gezintiler!