Het gaat om libraries die volgens de Java-maker normaliter onnodig zijn voor gebruik op servers. Dit is een van de maatregelen die Oracle nu aankondigt voor Java, "om het aanvalsoppervlak verder te verkleinen". In totaal gaat het om 4 grote stappen die Oracle zet. Het volledig schrappen van componenten is flink ingrijpend en kan niet geïmplementeerd worden in huidige versies van Java.

Kan nu nog niet

Het verwijderen zou immers de nu geldende Java-specificaties schenden, stelt Oracle in de uitgebreide blogpost: 'Het behouden van de security-worthiness van Java is Oracle's prioriteit'. Daarin zet hoofd Java-ontwikkelaar Nandini Ramani uiteen wat voor stappen Oracle zet om het flink belaagde Java beter te beveiligen.

Meest ingrijpend is het 'uitkleden' van de aparte serveruitvoering van Java. Ramani benadrukt dat de securityproblemen van Java als plug-in in "internetbrowsers" over het algemeen geen impact hebben gehad op servers. Dat betreft dan de technische en security-impact, want qua perceptie is er wel degelijk een gevolg, erkent zij.

Bedrijfsklanten geruststellen

"Oracle heeft ontdekt dat de publieke verslaggeving van de recente onthulde Java-kwetsbaarheden in de browser bezorgdheid hebben veroorzaakt bij bedrijven die Java-applicaties op servers draaien." Om die grootzakelijke klanten gerust te stellen, neemt de softwareleverancier aparte stappen om de security van Java op servers aan te pakken.

Daaronder ook "de verwijdering van bepaalde libraries die normaliter onnodig zijn voor servergebruik". Vanwege de ingrijpendheid van deze concreet benoemde maatregel komt dit pas in toekomstige versies van Java. Het is niet bekend of dat de eerstvolgende (gepland voor maart 2014) of een veel latere release zal zijn.

Het uitkleden van Java voor servers is één van de 4 grote stappen die Oracle zet om de veelgeplaagde software beter te beschermen. Webwerelds zustersite Computerworld.nl belicht die vier vergaande maatregelen.