Oracle verspricht: Wir machen Java sicherer!

Judith Lungstraß

In letzter Zeit häuften sich die Berichte über Sicherheitslücken und potentielle Gefahren der Java-Plattform. Besonders das Java-Browser-Plug-in kann man derzeit kaum reinen Gewissens und ohne Sorgenfalten auf der Stirn auf seinem Computer installieren. Natürlich ist diese Kritik an der Sicherheit der Plattform auch an Oracle nicht spurlos vorüber gegangen. Und so meldet sich nun mit Nandini Ramani die Leiterin des Software Development Teams der Java-Plattform höchstpersönlich zu Worte, um Entwickler, Administratoren und Endnutzer von den Sicherheitsbestrebungen Oracles zu überzeugen.

Wenn Oracle eine Produktlinie erwirbt, muss diese bestimmten Prozessen unterzogen werden, erklärt Ramani. So galt es für die Java-Abteilung nach der Übernahme von Sun Microsystems durch Oracle Anfang 2010, die Security Fixing Policies der neuen Dachorganisation zu übernehmen. Diese Richtlinien besagen unter anderem, dass Probleme ihrer Priorität nach und innerhalb eines bestimmten Zeitraumes behoben werden müssen.

Diese neuen Praktiken haben dafür gesorgt, dass nach und nach eine immer größere Anzahl an Sicherheits-Releases bereit gestellt worden sei. Allein 2013 sind bereits vier davon erschienen, obwohl ursprünglich nur drei geplant waren. Außerdem könne man nun auf Zero-Day-Angriffe sowie schwerwiegende Schwachstellen schneller reagieren und auch individuelle Fixes zeitnah ausliefern.

Ab kommenden Oktober gilt die Java-Plattform dann als soweit integriert, dass sie ab dann im Gleichschritt mit den restlichen Oracle-Produkten aktualisiert werden kann. Das erfolgt im Rahmen des Oracle Critical Patch Updates, welches vier Mal jährlich ausgeliefert wird. Außerplanmäßige Fixes sind aber natürlich auch weiterhin möglich und erfolgen im Rahmen des Security Alert Program. Diese Integration bedeutet auch, dass die Richtlinien der Oracle Software Security Assurance künftig genauso für die Java-Plattform gelten. Sie versprechen, das Einschleichen neuer Schwachstellen zu verhindern und große Teile des Codes mittels automatisierter Sicherheits-Testtools regelmäßig zu überprüfen. 

Auch des Sorgenkinds Java im Browser habe man sich schon angenommen, betont Ramani. Das JDK 7 Update 2 beispielsweise führte Sicherheitswarnungen ein, die dem Nutzer mitteilen, wenn ein Applet mit einer veralteten Java Runtime ausgeführt werden soll. Seit JDK 7 Update 6 wird überprüft, ob die installierte Version auch wirklich die aktuellsten Security Fixes beinhaltet.

Nichtsdestotrotz haben die Probleme rund um das Browser-Plug-in zahlreiche Unternehmen beunruhigt, obwohl kein tatsächlicher Einfluss auf die Java-Server-Version besteht. So wird die Client- von der Browser-Version nun weiter differenziert und zwar anhand einer neuen Distribution mit dem Name „Server JRE“. Dort wurden Plug-ins entfernt, um die Angriffsfläche zu verringern und die Nutzer nicht zu verunsichern. In Zukunft soll die Zahl der Angriffsvektoren durch Entfernung bestimmter für Server-Vorgänge nicht unbedingt notwendiger Bibliotheken weiter reduziert werden.

Darüber hinaus soll auch die Verwaltung von Java in Unternehmens-Deployments verbessert werden. Als nächstes stehen Local Security Policy Features auf dem Plan, die Administratoren bei der Installation zusätzliche Kontrolle über die einzelnen Sicherheitseinstellungen geben. Dadurch könnte man etwa die Ausführung von Java-Applets spezifischer Anbieter einschränken, um nur ein Beispiel zu nennen.

Überhaupt hoffen Nandini Ramani und ihr gesamtes Team, die Angriffsmöglichkeiten der Java-Plattform in Zukunft drastisch reduzieren zu können. Und wenn dann doch einmal eine Schwachstelle auftritt, soll diese erstens nicht so gravierend sein wie nun schon häufiger vorgekommen und zweitens schneller als bisher wieder behoben werden. Oracle jedenfalls ist zuversichtlich, dass ihnen dieses Vorhaben gelingen wird. Und was denken Sie?

Geschrieben von
Judith Lungstraß
Judith Lungstraß
Judith Lungstraß ist seit Anfang 2012 im Online-Team bei Software & Support Media. Neben ihrem Studium der Buchwissenschaft in Mainz konnte sie erste journalistische Erfahrungen bei einem Online-Reiseführer und einem Sportverein sammeln. Ihr Fachgebiet ist die Microsoft-Welt, von Windows über .NET bis hin zu Windows Phone.
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.