Oracle neemt met de FTC genoegen met 'misleidende' beveiligingsbeloften van Java

Beveiligingsproblemen hebben gebruikers van Oracle's Java SE lange tijd bedorven en op maandag zijn de inspanningen van de FTC om het probleem aan te pakken eindelijk werkelijkheid geworden.

Oracle heeft ermee ingestemd beschuldigt de klant ervan dat het de veiligheid heeft misleid door updates van de Java Standard Edition-software, die op ongeveer 850 miljoen computers overal ter wereld is geïnstalleerd, aldus de Federal Trade Commission.

"Wanneer de software van een bedrijf op honderden miljoenen computers draait computers is het van vitaal belang dat de uitspraken waar zijn en dat de beveiligingsupdates de software daadwerkelijk beveiligen, "zei Jessica Rich, directeur van het FTC-bureau voor consumentenbescherming.

Onder de voorwaarden van een voorgesteld conse o nt, zal Oracle consumenten de mogelijkheid moeten geven gemakkelijk onveilige, oudere versies van Java SE te verwijderen.

Oracle heeft Java in 2010 overgenomen en is sindsdien op de hoogte van beveiligingsproblemen die van invloed zijn op oudere Java-versies, de FTC opgeladen. Ook beloofde het consumenten dat updates de systemen van gebruikers veilig zouden houden, zei de commissie.

Door de beveiligingsproblemen konden hackers malware maken die toegang kreeg tot de gebruikersnamen en wachtwoorden van gebruikers voor financiële accounts, samen met andere gevoelige persoonlijke gegevens.

Java ondersteunt browsergebaseerde rekenmachines, online gaming, chatrooms en 3D-beeldweergave , onder andere webmogelijkheden.

Oracle was al in 2011 op de hoogte van het updateprobleem, meldde de FTC, maar het adviseerde gebruikers nooit dat het proces oudere versies van Java SE op zijn plaats liet. Ondertussen bleven updates alleen de meest recente versie van Java SE verwijderen die tot augustus 2014 was geïnstalleerd.

De klacht roept op dat de beperkingen van de updates "misleidend" en een schending van sectie 5 van de FTC-wet worden onthuld.

Nu moet Oracle, onder de voorgestelde volgorde, consumenten tijdens het Java SE-updateproces op de hoogte stellen als ze verouderde versies van de software op hun computer hebben, hen informeren over het risico van het hebben van de oudere software en hen de mogelijkheid geven om verwijder het. Het zal ook nodig zijn om consumenten en online via internet op de hoogte te brengen van de oplossing.

De FTC stemt om een ​​klacht in te dienen en aanvaardt de voorgestelde instemmingsopdracht met 4-0. De overeenkomst zal gedurende 30 dagen publiekelijk worden becommentarieerd voordat de commissie beslist of ze definitief is. Zodra dat gebeurt, kan elke overtreding van een dergelijke bestelling resulteren in een burgerlijke boete van maximaal $ 16.000.

Oracle weigerde commentaar te geven.

"Java was iets dat ze met Sun hebben gekregen, of ze het wilden of niet, en het had niet gedaan krijgt niet zoveel aandacht als gevolg, "merkte Rob Enderle op, principal analyst bij Enderle Group.

" Oracle doet echt geen consumentgerichte producten, en ze zijn er echt niet voor opgezet ", voegde hij eraan toe. .

Het is onwaarschijnlijk dat Oracle van plan was om dit te misleiden, stelde Enderle voor. Veel waarschijnlijker is dat "ze simpelweg niet volledig hebben nagedacht over wat ze zeiden." De belangrijkste schending hier werd in 2014 daadwerkelijk verholpen, merkte Al Hilwa op, een programmadirecteur met IDC, maar "dit is een regeling na het feit, en het probleem heeft betrekking op de periode waarin Oracle's software eerdere versies van Java niet verwijderde. "

De schikking zet een precedent voor softwareleveranciers, voegde hij eraan toe. Ondertussen is er in de hele branche veel bewustzijn dat de meeste beveiligingsproblemen verband houden met oudere softwareversies, merkte Hilwa op.

"In zekere zin zijn we in de branche overgeschakeld naar een beeld waarin software organisch is en voortdurend wordt bijgewerkt gedurende de volledige levenscyclus van de implementatie, "zei hij.