Einigung mit FTC: Oracle muss Nutzer vor Java SE warnen

Oracle hat einen Streit mit der US-Behörde Federal Trade Commission beigelegt. Im Rahmen der Einigung verpflichtet es sich, die Anwender zu warnen, dass Java SE unsicher ist, und ihnen Deinstallationswerkzeuge für ältere Versionen zur Verfügung stellen. Die Behörde hatte dem Konzern vorgeworfen, bei Sicherheitsaktualisierungen nicht in jedem Fall ältere Versionen gelöscht und damit die Systeme der Verbraucher angreifbar gemacht zu haben.

Oracle räumt zugleich eine Täuschung der Verbraucher ein, indem es sie nicht über Sicherheitsrisiken aufklärte. Dies muss es jetzt über Kanäle wie Social Media und Web verbreiten und dort auch erklären, wie sich ältere Versionen deinstallieren lassen. Zudem hat ihm die FTC die Pflicht auferlegt, keine irreführenden Aussagen mehr über den Upgrade-Prozess zu machen.

Selbst hat die FTC einen Blogbeitrag mit dem Titel „Was ist schlimmer als kalter Kaffee? Altes Java!“ eingestellt. Dort schreibt Direktorin Jessica Rich: „Wenn die Software eines Unternehmens auf Abermillionen Rechner installiert ist, ist es wichtig, dass es dazu korrekte Aussagen macht und dass Updates wirklich die Sicherheit der Software gewährleisten. Die Einigung zwingt Oracle jetzt, den Verbrauchern Tools und Informationen bereitzustellen, die sie brauchen, um ihre Rechner zu schützen.“

Oracle habe seit der Übernahme von Sun Microsystems im Jahr 2010 von den erheblichen Sicherheitsrisiken vor allem durch ältere Java-Versionen gewusst, über die Hacker bösartige Software auf die Rechner der Nutzer einschleusen konnten, heißt es weiter. Dennoch wurde bei den Anwendern fälschlicherweise die Erwartung geweckt, dass die Installation von Updates ein ausreichendes Sicherheitsniveau gewährleiste. Oracle habe aber bis August 2014 nicht darauf hingewiesen, dass durch ein Update immer nur die Vorgängerversion vom System deinstalliert wurde. Eventuell vorhandene Versionen vor Java SE 6 Update 10 blieben auf dem Rechner und sorgten für zusätzliche Risiken.

Dass der Update-Prozess unsicher war, wusste Oracle: In der FTC vorliegenden internen Oracle-Dokumenten steht, dass der Update-Prozess “nicht aggressiv genug ist oder einfach nicht funktioniert.”

In Kürze will die FTC noch den gesamten Vorgang auf ihrer Website dokumentieren. Bevor die Vereinbarung in Kraft tritt, kann sie außerdem noch bis 20. Januar kommentiert werden.

Oracle hatte seine strittige Update-Praxis im Sommer 2014 geändert. Die Einigung mit der FTC soll offenbar als abschreckendes Beispiel auf die ganze Branche wirken.

Unverändert wird an Oracles Java-Politik kritisiert, dass es während des Installationsvorgangs versucht, dem User eine Toolbar unterzujubeln. Früher ließ es sich dafür von Ask.com bezahlen, heute heißt der Werbekunde Yahoo. Erst vor einer Woche beschwerte sich der Interessenverbund der Java User Groups e.V. (iJUG), Oracle schade damit dem Ansehen der Java-Plattform.

[mit Material von Martin Schindler, silicon.de]

Tipp: Was haben Sie über Datenbanken gespeichert? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.