Oracle will Java-Sicherheit verbessern

In einem Blog kündet Oracle jetzt verschiedene Schritte an, um die Sicherheit von Java zu erhöhen. Mit einer zentralen Richtlinienverwaltung und der Möglichkeit, weiße Listen von vertrauenswürdigen Applets zu erstellen, wolle Oracle“die Ausnutzbarkeit und die Gefahr minimieren, die von potenziellen Java-Schwachstellen in Desktop-Umgebungen ausgeht”. Außerdem will Oralce auch “zusätzliche Schutzmaßnahmen für den Einsatz von Java in Server-Umgebungen” vorantreiben, schreibt Nandini Ramani.

Im Fokus des Beitrags steht die “Schutzwürdigkeit von Java”. Indirekt nimmt Oracle damit  Bezug erfolgreiche Angriffe auf Firmen wie Apple, Facebook und Microsoft Bezug, die Anfang des Jahres ungepatchte Schwachstellen im Web-Plug-in für Java ausnutzten. Schuld an diesen Schwachstellen sei vor allem der ehemalige Java-Besitzer Sun Microsystems: Oracle habe einen eigenen Zeitplan einführen müssen, um Probleme nach Prioritäten geordnet zu lösen und das vor allem “innerhalb einer bestimmten Zeitspanne”.

Ramani weist auch darauf hin, dass die Java-Entwicklungsabteilung seit der Übernahme von Sun durch Oracle im Jahr 2010 “die Produktion von Security-Fixes deutlich beschleunigt” habe. Den Zeitplan für Patches werde man bis Oktober noch einmal verdichten. Damit will der Hersteller die Update-Zyklen an die von anderen Oracle-Produkten anpassen. Mit neuen Testwerkeugen für die Quelltextanalyse wolle Oracle laut Ramani zudem das Aufspüren von Schwachstellen im Code weiter verbessern.

Mit den letzt genannten Maßnahmen wolle Oralce vor allem gewerbliche Anwender besser absichern. Mit diesen Maßnahmen reagiere Oracle auf “Bedenken bei Firmen, die Java-Anwendungen auf Servern einsetzen”. Zudem werde künftig stärker zwischen browserbasiertem und serverbasiertem Java unterschieden. Mit Java 7 (Update 21) heißt die einschlägige Distribution “Server JRE” und umfasst kein Browser-Plug-in mehr. Funktionen wie Auto-Updates oder Installer, die vor allem von Privatanwendern genutzt werden, fallen damit ebenfalls weg.

Firmen, die Java-Anwendungen unterhalten oder nutzen, können auf Java auf dem Client natürlich nicht verzichten. Doch auch in diesem Fall will Oracle den Unternehmen mehr Kontrollmöglichkeiten an die Hand geben. Administratoren können Whitelists erstellen, in denen vertrauenswürdiger Applets aufgeführt werden. Ergänzt wird das von einer Certificate Revocation Lists. Außerdem lassen sich diese Listen jetzt auch zentral verwalten. Damit dämme Oracle auch die Gefahr ein, dass sich eine Java-Malware vom einem Desktop aus auf einen Server weiterverbreitet. Auf die Frage, wie Oracle künftig mit der ungeliebten Ask-Toolbar verfahren will, die ein unachtsamer User leicht mit Java installiert, geht Ramani in seinem Beitrag nicht ein.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.