A frente da programação, a Oracle planeja colocar o Java em linha com sua programação de atualizações de patches críticos, para Outubro deste ano de 2013. As atualizações de segurança do Java foram previamente lançadas mediante sua própria agenda, mas com o atual aumento das vulnerabilidades encontradas e fechadas na última atualização - em 2012, as atualizações fecharam um total de 58 brechas, e na primeira metade de 2013, as atualizações já corrigiram 97 falhas - a Oracle deseja tornar os lançamentos mais regulares como parte de seu ciclo quadrimestral do Critical Patch Update. Ramani diz que a companhia irá manter sua habilidade de emitir correções através de seu programa Security Alert. O movimento já era esperado após a Oracle retrabalhar a numeração das versões do Java para as atualizações regulares. E em adição as atualizações regulares, a equipe do Java na Oracle está expandindo seu uso de ferramentas de segurança automatizadas, e trabalhando com o "provedor análise de código fonte primário da Oracle" para poder usar suas ferramentas no ambiente Java.
Tecnicamente, o foco da Oracle está sobre os problemas inerentes com o Java no navegador e seu modelo de confiança/privilégio. Ramani aponta um número de mudanças para restringir a confiança em applets Java, especialmente no mais recente lançamento do Java 7 Update 21 - utilizando o modelo de assinaturas para estabelecer a identidade de um autor de applet mas não necessariamente aumentando os privilégios do applet, desencorajando a execução de applets auto-assinados ou sem assinaturas, além de adicionar verificações para a validade do certificado. Por sinal, essa última funcionalidade está atualmente desabilitada por padrão por motivos de problemas de desempenho, e Ramani apenas informa que isso será um padrão no futuro. Dentre os outros planos para o futuro, destacamos a inclusão de bloqueio para todos os applets não assinados ou auto-assinados, além da implementação de uma melhor dinâmica para blacklisting.
Ramani também informa que a empresa estará reduzindo o número de bibliotecas que vem embarcadas com o Server JRE, que está sendo discretamente introduzido com o Java 7 Update 21. O Server JRE já não inclui o plugin Java para navegadores, o instalador ou auto-update, mas a Oracle deseja reduzir as superfícies potenciais de ataque à fundo ao remover outras bibliotecas "tipicamente desnecessárias para a operação do servidor". Essas alterações podem ser significantes e a Oracle informa que precisa trabalhar com a Java Community Process para ter aprovação dessas mudanças. No entanto, quais bibliotecas Java estão sob consideração para remoção ainda não foi informado, mesmo sabendo que possíveis candidatos seriam o Java2D e o manuseio de fontes.
É esperado que o Server JRE venha a possuir diferentes riscos de exploração após essas mudanças, o que será fácil de determinar se uma falha de segurança afeta o Java no desktop ou no servidor. Um sistema do tipo Local Security Policy também será introduzido "em breve" para o Java, que dará controles administrativos sobre as configurações de política de segurança durante a instalação e depuração do Java com, além de outras coisas, as opções para restringir a execução de applets para hosts específicos.
Saiba Mais:
- Heise Online: Oracle sets out future Java security plans (em Inglês)