Oracle hat einen Streit mit der US-Behörde Federal Trade Commission beigelegt. Im Rahmen der Einigung verpflichtet es sich, die Anwender zu warnen, dass Java SE unsicher ist, und ihnen Deinstallationswerkzeuge für ältere Versionen zur Verfügung stellen. Die Behörde hatte dem Konzern vorgeworfen, bei Sicherheitsaktualisierungen nicht in jedem Fall ältere Versionen gelöscht und damit die Systeme der Verbraucher angreifbar gemacht zu haben.
Selbst hat die FTC einen Blogbeitrag mit dem Titel „Was ist schlimmer als kalter Kaffee? Altes Java!“ eingestellt. Dort schreibt Direktorin Jessica Rich: „Wenn die Software eines Unternehmens auf Abermillionen Rechner installiert ist, ist es wichtig, dass es dazu korrekte Aussagen macht und dass Updates wirklich die Sicherheit der Software gewährleisten. Die Einigung zwingt Oracle jetzt, den Verbrauchern Tools und Informationen bereitzustellen, die sie brauchen, um ihre Rechner zu schützen.“
Oracle habe seit der Übernahme von Sun Microsystems im Jahr 2010 von den erheblichen Sicherheitsrisiken vor allem durch ältere Java-Versionen gewusst, über die Hacker bösartige Software auf die Rechner der Nutzer einschleusen konnten, heißt es weiter. Dennoch wurde bei den Anwendern fälschlicherweise die Erwartung geweckt, dass die Installation von Updates ein ausreichendes Sicherheitsniveau gewährleiste. Oracle habe aber bis August 2014 nicht darauf hingewiesen, dass durch ein Update immer nur die Vorgängerversion vom System deinstalliert wurde. Eventuell vorhandene Versionen vor Java SE 6 Update 10 blieben auf dem Rechner und sorgten für zusätzliche Risiken.
Dass der Update-Prozess unsicher war, wusste Oracle: In der FTC vorliegenden internen Oracle-Dokumenten steht, dass der Update-Prozess “nicht aggressiv genug ist oder einfach nicht funktioniert.”
In Kürze will die FTC noch den gesamten Vorgang auf ihrer Website dokumentieren. Bevor die Vereinbarung in Kraft tritt, kann sie außerdem noch bis 20. Januar kommentiert werden.
Oracle hatte seine strittige Update-Praxis im Sommer 2014 geändert. Die Einigung mit der FTC soll offenbar als abschreckendes Beispiel auf die ganze Branche wirken.
Unverändert wird an Oracles Java-Politik kritisiert, dass es während des Installationsvorgangs versucht, dem User eine Toolbar unterzujubeln. Früher ließ es sich dafür von Ask.com bezahlen, heute heißt der Werbekunde Yahoo. Erst vor einer Woche beschwerte sich der Interessenverbund der Java User Groups e.V. (iJUG), Oracle schade damit dem Ansehen der Java-Plattform.
[mit Material von Martin Schindler, silicon.de]
Tipp: Was haben Sie über Datenbanken gespeichert? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…