Oracle will Java-Sicherheit verbessern

Ab Oktober 2013 will Oracle Sicherheitsupdates für Java gleichzeitig mit denen für seine anderen Produkte bereit stellen. Das hat das Unternehmen in einem Blog-Beitrag angekündigt. Damit würde es Java-Korrekturen in Zukunft vier- statt wie bisher geplant dreimal pro Jahr geben.

Da die in jüngster Zeit bekannt gewordenen Schwachstellen im Web-Browser laufende Java-Applets betrafen, will Oracle speziell die Sicherheit der dafür nötigen Laufzeitumgebung verbessern. Dazu habe es in der Vergangenheit bereits etwas unternommen, etwa zu verhindern, das unsignierte Applets per Voreinstellung ausgeführt werden. Administratoren und Nutzer können diese Voreinstellung ändern, beispielsweise um selbst erstellte unsignierte Applets verwenden zu können.

In Zukunft sollen die Programme vor dem Start prüfen, ob das verwendete Entwicklerzertifikat widerrufen worden ist. Darauf hatte Oracle bislang aus Performance-Gründen verzichtet. Die nötigen Dienste will es nun so beschleunigen, dass eine Zertifikatsprüfung den Start des Applets nicht über Gebühr verzögert. Außerdem sollen Administratoren mehr Möglichkeiten bekommen, lokale Sicherheitsregeln zu definieren. Damit könnten sie etwa festlegen, dass Java-Applets von einem bestimmten Server kommen müssen.

Obwohl die Sicherheitslücken in der jüngeren Vergangenheit nur Desktop-Rechner betrafen, habe die Berichterstattung darüber auch Kunden beunruhigt, die Java auf dem Server verwenden. Deshalb will Oracle die Desktop- und Server-Versionen stärker entkoppeln, geht aus dem Blog-Beitrag weiter hervor. Zum Beispiel könnten Bibliotheken aus der Server-Variante entfernt werden, die dort nicht nötig seien. Das widerspreche jedoch der aktuellen Java-Spezifikation, weshalb Oracle bereits mit Mitgliedern des Java Community Process (JCP) zusammenarbeite, um deren Änderung zu erreichen. (ck)