3 juni 2013 11:18

Oracle ontvouwt plan voor betere beveiliging Java

Na een reeks massale hacks en inbraken bij grote techbedrijven, waaronder Apple en Facebook, schiet Oracle in gang om de beveiliging van zijn browserplug-in te verbeteren.

Oracle is van plan om de manier te veranderen waarop het veiligheidslekken in Java repareert, waaronder nieuw gecentraliseerd beleidsbeheer voor het grootbedrijf en ‘whitelisting’ voor de enterpriseomgeving.

Het bedrijf hoopt zo de “ernst en exploiteerbaarheid te verminderen van mogelijke kwetsbaarheden in Java voor de desktopomgeving” en wil “aanvullende beveiligingsmechanismen voorzien for Java in de serveromgeving”.

Dat schrijft Nandini Ramani, het hoofd softwareontwikkeling van Oracles Java-platform afgelopen donderdag in een verklarende blogpost.

[related_article id=”161920″]

Ramani verwijst in het artikel indirect naar het schandaal dat vorig jaar ontstond toen verschillende grote techbedrijven slachtoffer werden van hacks, omdat werknemers Java plug-in draaiden binnen hun browser en zo ten prooi vielen aan zerodayaanvallen.

De Oracleman richt zich liever op de ‘beveiligingswaarde van Java’ en prijst zichzelf voor het feit dat het Sun Microsystems de juiste manier heeft geleerd om repararaties uit te voeren ‘op volgorde van prioriteit’ en dat ‘binnen een gestelde tijdsperiode.’

Schouderklopjes
Ramani merkt ook op dat de ontwikkelaars van Java “de productie van beveiligingsreparaties aanzienljk heeft versneld” nadat het Sun overnam in 2010. De softwaregigant zegt dat het zal doorgaan met de versnelling van het patchproces, zodat die vanaf oktober op hetzelfde tijdsschema zullen liggen als andere Oracle-producten.

Oracle zegt dat zijn voornaamste leverancier van broncodeanalyse speciale geautomatiseerde software (zogenoemde ‘fuzzing’ tools) heeft ontwikkeld die in staat zijn om specifieke kwetsbaarheden sneller op te sporen.

De maker van Java meldt ook twee belangrijke verbeteringen aan de beveiliging van service en diens uitrol in de bedrijfsomgeving.

Scheiding tussen desktop en server
Oracle heeft stappen genomen om de gewraakte browserplugin los te koppelen van zijn serverversies. Het benadrukt dat de veiligheidsproblemen van Java nooit invloed hebben gehad op zijn serverproducten. Maar het heeft desondanks deze stap genomen omdat “organisaties die Java-applicaties op hun servers draaien hun bezorgheid hadden geuit.”

Vanaf Java 7 (Update 21) zal de nieuwe Java-distributie voortaan bekend staan als ‘Server JRE’. Dit betekent dat de serverversie niet meer de automatische updatefunctie, de browserplug-in en de installatiemodule zal bevatten die Java-installaties voor thuisgebruikers wel bevatten.

Bedrijven die een server- of enterpriseversie draaien van Java kunnen de browserplug-in vaak niet uitschakelen, omdat ze dan immers de toegang kwijtraken tot belangrijke software die is gebouwd op Java.

Oracle zal daarom nieuwe beheerfuncties toevoegen die het eenvoudiger maakt voor systeembeheerders om meer controle uit te oefenen over de beveiliging tijdens het installeren en distribueren van Java in hun organisatie.

Beter beveiligingsbeheer
Deze nieuwe beheerfuncties moeten het risico verkeinen dat malware zich naar desktopmachines verspreidt en maakt het bovendien aan serverzijde mogelijk om Java-applets te ‘whitelisten’ die mogen worden gedraaid op bedrijfsmachines.

Ramani wil tenslotte nog kwijt dat de snelheid waarmee bugs worden gerepareerd, heeft geleid tot ‘minder openstaande bugs in Java op het gebied van beveiliging.’

“Het is onze veronderstelling dat als resultaat van onze voortdurende inspanning voor security we de exploiteerbaarheid en ernst van mogelijke Java-dreigingen zullen verminderen voor de desktopomgeving en aanvullende beschermingen kunnen leveren voor Java in de serveromgeving”, aldus de Oracle-chef.