Noch wird das nächste Java-Sicherheitsupdate am 18. Juni losgelöst von den restlichen Sicherheitsbemühungen des Unternehmens stattfinden. Doch ab Oktober soll es sich ändern: Die Java-Sicherheitskorrekturen sollen ab dem 14. Oktober 2013 zeitgleich mit dem Critcal Patch Update (CPU), das Oracle vierteljährlich für seine weitere Produktpalette bereitstellt, veröffentlicht werden. Das kündigte Nandini Ramani, Vice President of Development für Java bei Oracle, in ihrem Blog an. Mit dieser Maßnahme erhöht Oracle die Java-Sicherheitsupdates auf vier statt bisher drei pro anno.
Ramani macht in diesem Zusammenhang auch eine Gegenüberstellung der Sicherheitslücken, die 2012 und 2013 geschlossen worden sind: Im vergangen Jahr waren es insgesamt 58 gegen 97 für das erste Halbjahr 2013. Bereits mit JDK 7 Update 21 hatte Oracle das Sicherheitsmodell von signierten Java-Applets sowie die Standardeinstellungen geändert. In naher Zukunft werde Java die Ausführung von selbstsigniertem oder unsigniertem Code nicht mehr erlauben, informiert die Managerin in demselben Blog-Eintrag.
Darüber hinaus hat Oracle mit dem Java 7 Update 21 bereits die neue Distribution „Server JRE“ eingeführt. Dies hat eine schärfere Trennung der Browser/Desktop- und Server-Version als Ziel. Um das Sicherheitsrisiko einzuschränken, wird die „Server-JRE“-Distribution ohne Plugins ausgeliefert. Ramani kündigt zudem weitere Maßnahmen an – wie zum Beispiel den Verzicht auf gewisse Bibliotheken, die für den Server-Betrieb überflüssig sind. Diese Schritte könnten laut der Managerin nicht sofort eingeführt werden, ohne die Java-Spezifikationen zu verletzen. Allerdings arbeite Oracle mit den Mitgliedern des Java Community Process (JCP) an einer Lösung für die kommenden Versionen.
Für Firmen, die Java auf dem Client nutzen, hat Oracle auch eine Lösung parat: Den Systemadministratoren sollen eine größere Kontrolle bei Installation und Deployment von Java in ihrem Unternehmen gewährt werden. Zum Beispiel sollen sie dann festlegen können, inwiefern Java-Applets gestartet werden dürfen.
Neulich hatte Oracle angekündigt, die Nummerierung der Java-Updates zu ändern und war aus diesem Grund vom Interessenverbund der Java User Groups e.V. (iJUG) kritisiert worden. Der iJUG forderte von Oracle eine Zählweise, die allgemein verständlich ist, und schlug vor, mit der Java-Version zu beginnen, gefolgt von den Funktions- und CPU-Updates und an dritter Stelle die Security-Updates. Zum Beispiel: 7.1.3 für Java 7, erstes Funktions- und drittes Security-Update.
