Cosa c'è di peggio del caffè stantio? Java stantio, afferma la Federal Trade Commission degli Stati Uniti.
A Oracle è stato ordinato di avvisare gli utenti se utilizzano una versione obsoleta di Java SE, in base a un accordo con la Federal Trade Commission (FTC) degli Stati Uniti.
L'accordo risolve le affermazioni della FTC secondo cui Oracle ha ingannato gli utenti dicendo loro che i loro computer sarebbero stati "sicuro e protetto" se avessero aggiornato Java. Sebbene l'aggiornamento del software di solito offra protezione, Oracle non ha informato gli utenti che, quando fossero state installate più versioni di Java SE, le versioni precedenti sarebbero rimaste sul computer. Questo software obsoleto rappresentava quindi un bersaglio maturo per gli hacker.
Leggi questo
Oracle delinea i passaggi per migliorare la sicurezza Java domestica e aziendale
Leggi oraOracle ha acquisito Java come parte dell'acquisto di Sun Microsystems nel 2010, dotandolo di un runtime installato su miliardi di macchine e circa 850 milioni di utenti. PC. Java è diventato un obiettivo popolare per gli hacker a causa della sua ampia distribuzione e di un flusso costante di bug che lasciavano le macchine esposte agli hacker e agli exploit kit.
Le società di sicurezza lo avvertono da tempo il software Java obsoleto abbandona i sistemi aziendali e consumer vulnerabile agli attacchi. Anche i precedenti bug zero-day Java hanno generato avvisi da parte di il governo degli Stati Uniti a disabilitare Java nel browser. Un difetto zero-day di Java riguardava il modo in cui gli aggressori sponsorizzati dallo stato ha hackerato dipendenti Apple e Facebook nel 2013.
Annuncio dell'accordo con Oracle, la FTC notato che Oracle non è riuscita a correggere i processi incompleti per la disinstallazione di Java durante gli aggiornamenti fino ad agosto 2014. Ha inoltre affermato che Oracle era a conoscenza del suo processo di aggiornamento difettoso nel 2011.
"Mentre Oracle aveva avvisi sul proprio sito web relativi alla necessità di rimuovere le versioni precedenti a causa del rischio per la sicurezza hanno affermato, le informazioni non spiegavano che il processo di aggiornamento non rimuoveva automaticamente tutte le versioni precedenti di Java SE. Gli aggiornamenti hanno continuato a rimuovere solo la versione più recente di Java SE installata fino ad agosto 2014," ha affermato.
Oracle è ora vincolata a un ordine che richiede di "informare i consumatori durante il processo di aggiornamento di Java SE se sono obsoleti". versioni del software sul proprio computer, informarli del rischio di avere il software più vecchio e dare loro la possibilità di farlo disinstallarlo".
La società dovrà inoltre pubblicizzare i termini dell’accordo sul proprio sito web e tramite i social media.
Sotto i termini, Oracle deve, entro 10 giorni dall'accettazione dell'accordo, pubblicare su Twitter e Facebook un messaggio in cui si afferma: "INFORMAZIONI IMPORTANTI RIGUARDANTI LA SICUREZZA DI JAVA SE" e un collegamento a una lettera che spiega perché è stata citata in giudizio dalla FTC.
E se il messaggio di Oracle non raggiunge i consumatori, la FTC sta avviando la propria campagna di allerta Java con il suo blog, intitolato"Cosa c'è di peggio del caffè stantio? Java stantio", che offre una spiegazione non tecnica dei rischi a cui Oracle li ha esposti.
Maggiori informazioni sulla sicurezza Java
- Il buco di esecuzione del codice remoto per la deserializzazione di Java colpisce le raccolte Commons, JBoss, WebSphere, WebLogic
- Sfruttata in natura la falla di sicurezza zero-day di Java
- L'aggiornamento Java elimina l'adware della barra degli strumenti Ask e lo sostituisce con la ricerca di Yahoo
- Aggiornamento critico per la sicurezza di Oracle: 154 problemi risolti nell'ultima patch