Oracle verbessert die Java-Sicherheit Schritt für Schritt

Originalartikel von Pawan Kinger, Vulnerability Research Manager

Vor etwa zwei Wochen beschrieb Oracle in einem Blogeintrag, was an der Java-Sicherheit bereits besser geworden ist und welche Pläne es für weitere Änderungen gibt.
Der Anbieter hat den Umgang mit Sicherheits-Patches geändert und den Java-Update-Zyklus dem anderer Oracle-Produkte angepasst. Das heißt, von Oktober dieses Jahres an wird es alle drei Monate Patches geben, damit sollen potenzielle Probleme schneller als bislang gelöst werden, bevor Angreifer diese ausnutzen können. Bei Bedarf will der Anbieter natürlich auch weiterhin Updates für kritische Sicherheitslücken außer der Reihe liefern.

Des Weiteren hat Oracle Java unter die eigenen Software Security Assurance-Regeln gestellt. Dazu gehört beispielsweise, dass automatisierte Test-Tools zum Einsatz kommen, um Regressionen sowie neue Probleme zu vermeiden, wenn ein Fehler ausgemerzt wird. Schließlich ist die Java-Sicherheit beim Einsatz in Browsern erhöht worden.

Wichtiger aber noch sind die Pläne für weitere Überarbeitungen. So will Oracle in künftigen Java-Versionen keine unsignierten oder selbstsignierten Apps mehr erlauben. Zwar gibt es dafür noch keinen Zeitplan, aber diese Änderung bedeutet einen wichtigen Schritt in Richrung Sicherheit. Angreifer müssen dann entweder einen Schlüssel zum Signieren von Code erwerben oder kompromittieren, um ihre Java-Applets laufen zu lassen. Zwar wird dies keinen wirklich zielstrebigen Hacker stoppen, aber weniger zielgerichtete Angriffe werden mißraten. Auch ist Oracle dabei, die Art und Weise zu verbessern, wie Java-Prozesse mit zurückgenommenen Signaturen umgehen.

Für Unternehmensanwender gibt es ebenfalls gute Nachrichten: Künftige Versionen sollen Sicherheitsrichtlinien unterstützen, die von Windows selbst durchgesetzt werden. Somit kann ein Systemadministrator netzwerkweite Richtlinien aufsetzen, die den Einsatz von Java einschränken oder erweitern, ohne diese über das System festzulegen. Es wird zudem eine neue Art von Java-Distribution, Server JRE, für Server mit Java Apps geben. In dieser Distribution gibt es einige Bibliotheken weniger, um die Angriffsfläche damit zu reduzieren.

All diese Anstrengungen sind sehr positive zu bewerten, dennoch müssen Anwender ihren Teil zur besseren Sicherheit von Java beitragen, etwa immer auf die jeweils aktuelle Version updaten. Weitere Informationen zur Java-Sicherheit gibt auch der Blogeintrag „Java selektiv nutzen“.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*