Aktuell werden von Oracle die Updates JDK 8u91 und 8u92 verteilt, die vor allem die Sicherheit verbessern sollen. Dabei geht es nicht nur wie üblich um kritische Fehler in Java selbst, sondern es handelt sich diesmal um den Umgang mit unsicheren Signaturen und potenziellen Angriffen durch das Ausnutzen von Fehlern.

Die JVM (Java Virtual Machine) hat jetzt zwei neue Optionen, die den Umgang mit Out-of-Memory-Fehlern festlegen, die sie bisher selbst behandelt hat. Bei Benutzung des Flags ExitOnOutOfMemory stoppt sie stattdessen, sobald der Hauptspeicher nicht mehr ausreicht. Setzt ein Nutzer das Flag CrashOnOutOfMemory, führt dieser Fehler zu einem Absturz der JVM, der entsprechende Einträge in den Log-Dateien erzeugt.

Der Message-Digest Algorithm 5 (MD5) gilt seit einiger Zeit schon länger als unsicher, weil das Erzeugen unterschiedlicher Nachrichten mit den gleichen MD5-Hashes ziemlich einfach möglich ist.

Deshalb akzeptiert die JSSE-Implementierung (Java Secure Socket Extension) jetzt standardmäßig keine MD5withRSA-Signaturen mehr. Wer weiterhin auf MD5 angewiesen ist, muss sie erst manuell aus der Liste deaktivierter Algorithmen (jdk.tls.disabledAlgorithms) entfernen.

Natürlich gibt es wie jedesmal eine große Anzahl von Bugfixes. Alle Neuerungen des JDK 8u91/8u92 finden Sie in den Release Notes. Auf der Download-Seite stehen sowohl das JDK als auch die Laufzeitumgebungen (JRE) für Clients und Server in den aktuellen Versionen zum Download bereit.