Categories: Software

Einigung mit FTC: Oracle muss Nutzer vor Java SE warnen

Oracle hat einen Streit mit der US-Behörde Federal Trade Commission beigelegt. Im Rahmen der Einigung verpflichtet es sich, die Anwender zu warnen, dass Java SE unsicher ist, und ihnen Deinstallationswerkzeuge für ältere Versionen zur Verfügung stellen. Die Behörde hatte dem Konzern vorgeworfen, bei Sicherheitsaktualisierungen nicht in jedem Fall ältere Versionen gelöscht und damit die Systeme der Verbraucher angreifbar gemacht zu haben.

Oracle räumt zugleich eine Täuschung der Verbraucher ein, indem es sie nicht über Sicherheitsrisiken aufklärte. Dies muss es jetzt über Kanäle wie Social Media und Web verbreiten und dort auch erklären, wie sich ältere Versionen deinstallieren lassen. Zudem hat ihm die FTC die Pflicht auferlegt, keine irreführenden Aussagen mehr über den Upgrade-Prozess zu machen.

Selbst hat die FTC einen Blogbeitrag mit dem Titel „Was ist schlimmer als kalter Kaffee? Altes Java!“ eingestellt. Dort schreibt Direktorin Jessica Rich: „Wenn die Software eines Unternehmens auf Abermillionen Rechner installiert ist, ist es wichtig, dass es dazu korrekte Aussagen macht und dass Updates wirklich die Sicherheit der Software gewährleisten. Die Einigung zwingt Oracle jetzt, den Verbrauchern Tools und Informationen bereitzustellen, die sie brauchen, um ihre Rechner zu schützen.“

Oracle habe seit der Übernahme von Sun Microsystems im Jahr 2010 von den erheblichen Sicherheitsrisiken vor allem durch ältere Java-Versionen gewusst, über die Hacker bösartige Software auf die Rechner der Nutzer einschleusen konnten, heißt es weiter. Dennoch wurde bei den Anwendern fälschlicherweise die Erwartung geweckt, dass die Installation von Updates ein ausreichendes Sicherheitsniveau gewährleiste. Oracle habe aber bis August 2014 nicht darauf hingewiesen, dass durch ein Update immer nur die Vorgängerversion vom System deinstalliert wurde. Eventuell vorhandene Versionen vor Java SE 6 Update 10 blieben auf dem Rechner und sorgten für zusätzliche Risiken.

Dass der Update-Prozess unsicher war, wusste Oracle: In der FTC vorliegenden internen Oracle-Dokumenten steht, dass der Update-Prozess “nicht aggressiv genug ist oder einfach nicht funktioniert.”

In Kürze will die FTC noch den gesamten Vorgang auf ihrer Website dokumentieren. Bevor die Vereinbarung in Kraft tritt, kann sie außerdem noch bis 20. Januar kommentiert werden.

Oracle hatte seine strittige Update-Praxis im Sommer 2014 geändert. Die Einigung mit der FTC soll offenbar als abschreckendes Beispiel auf die ganze Branche wirken.

Unverändert wird an Oracles Java-Politik kritisiert, dass es während des Installationsvorgangs versucht, dem User eine Toolbar unterzujubeln. Früher ließ es sich dafür von Ask.com bezahlen, heute heißt der Werbekunde Yahoo. Erst vor einer Woche beschwerte sich der Interessenverbund der Java User Groups e.V. (iJUG), Oracle schade damit dem Ansehen der Java-Plattform.

[mit Material von Martin Schindler, silicon.de]

Tipp: Was haben Sie über Datenbanken gespeichert? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

6 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

10 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

10 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

11 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

11 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

13 Stunden ago