Oracle verabschiedet sich vom Java-Browser-Plug-in
Das voraussichtlich im März 2017 veröffentlichte Java SE Development Kit wird demnach erstmals ohne die unsichere Erweiterung ausgeliefert. Entwicklern, die auf die von dem Java-Plug-in unterstützten Java-Applets angewiesen sind, rät Oracle zum Umstieg auf die Plug-in-freie Java-Web-Start-Technologie.
Oracle hat angekündigt, in Zukunft auf das inzwischen 21 Jahre alte Java-Browser-Plug-in zu verzichten. Demnach wird das voraussichtlich im März 2017 erhältliche Java SE Development Kit ohne das von Experten als unsicher eingestufte Plug-in ausgeliefert werden.
Zunächst sieht Oracle vor, das Java-Browser-Plug-in mit Veröffentlichung von JDK 9 (Java Development Kit) als “veraltet” zu markieren und die Technologie “im Zuge eines künftigen Releases von Java SE (Standard Edition) sowohl aus dem Oracle JDK als auch aus der Oracle JRE (Java Runtime Environment) zu entfernen”, wie das Unternehmen mitteilt.
Entwicklern von Web-Anwendungen, die aufgrund der von dem Java-Plug-in unterstützten Java-Applets auf dieses angewiesen sind, empfiehlt Oracle künftig beispielsweise auf die Plug-in-freie Java-Web-Start-Technologie zu migrieren. Erste Testversionen von JDK 9 stehen laut Oracle bereits zum Download bereit. Zudem informiert das Unternehmen Entwickler in einem Whitepaper (PDF) über Migrierungsoptionen von Java-Applets hin zu Plug-in-freien Java-Technologien.
Das Java-Browser-Plug-in basiert, wie die ebenfalls anfälligen Plattformen Adobe Flash und Microsoft Silverlight, auf NPAPI (Netscape Plug-in Application Programming Interface) – einem seit den Neunziger Jahren benutzten Standard für Browser-Erweiterungen. Dieser stellt jedoch schon seit Jahren ein Sicherheitsrisiko für Desktop-Browser dar, sodass die Browser-Anbieter nach und nach den Support für die API herunterfahren.
Google kündigte etwa bereits im November 2014 an, ab 2015 standardmäßig alle auf NPAPI basierenden Erweiterungen zu blockieren. Damit fielen auch die bis dahin geltenden Ausnahmen für Java-, Silverlight- und Google-Earth-Plug-ins weg. Mozilla wird NPAPI-Plug-ins ab Ende 2016 nicht mehr unterstützen.
Apple hatte bereits im Oktober 2013 das zu der Zeit noch von dem Unternehmen bereitgestellte Java-Browser-Plug-in mit der damals aktuellen Version von Java SE 6 in Mac OS 10.7 entfernt. Mit dem Update wollte Apple Nutzer dazu bewegen, von der von ihm gepflegten Java-Version auf Oracles Java Runtime umzusteigen.
Bereits vor zwei Jahren hatte die Cisco-Tochter Sourcefire daraufd hingewiesen, dass Kriminelle es ausgesprochen häufig auf Schwachstellen in Java abgesehen haben. Die Oracle-Software hatte damals demnach die früher beliebtesten Ziele Adobe Acrobat und Microsoft Office abgelöst. Sourcefire zufolge wurde Java damals für 91 Prozent aller Web-Angriffe als Einfallstor genutzt. Allerdings beschränkten sich die Sicherheitsforscher für ihre Studie auf Java, Microsoft Word, Excel und Powerpoint sowie den Adobe Reader.