À partir d'octobre 2013, les corrections de sécurité pour Java bénéficieront du même traitement que les autres produits Oracle avec quatre publications dans l'année. Sans aller jusqu'à un rythme mensuel, Oracle va donc instaurer un rendez-vous régulier et trimestriel dans la lignée de son Critical Patch Update.
Pour autant, l'éditeur procédera le cas échéant à une mise à jour en urgence (ou hors cycle). Cela se produit déjà si une vulnérabilité critique dite 0-day (et donc sans patch) fait l'objet d'une exploitation active.
Cette mesure n'est pas la seule d'Oracle qui tente de rassurer après la forte médiatisation d'exploits et attaques, en particulier via le plugin pour navigateur. Une médiatisation qui a fait naître un climat de méfiance jusque dans les entreprises.
Des fonctionnalités de politique de sécurité locale seront ajoutées à Java et les administrateurs systèmes auront plus de possibilités lors de l'installation de Java et du déploiement dans l'entreprise. Par exemple, la restriction de l'exécution d'applets à celles spécifiques d'hôtes.
Dans un environnement serveur, Oracle indique que des " mesures renforcées seront explorées afin de réduire la surface d'attaque ". Parmi celles-ci, la suppression de certaines bibliothèques logicielles qui ne s'avèrent pas nécessaires en milieu serveur.
Chercheur en sécurité chez Rapid7 et créateur de Metasploit, HD Moore a surtout retenu qu'Oracle va changer son modèle de sorte que " signer une applet ne lui donnera plus de privilèges d'échappement de la sandbox. "
Il a cependant confié à CSO Online qu'il souhaite des améliorations en relation avec la sandbox Java et l'adoption d'une technologie plus sécurisée comme celle utilisée dans Google Chrome et Adobe Reader.
" Une applet malveillante avec une signature valide peut toujours abuser de failles de sécurité dans JRE ( Java Runtime Environment ) pour s'échapper de la sandbox et compromettre le système ", a déclaré l'expert en sécurité.
