Oracle muss vor unsicheren Java-Versionen warnen
Das geht aus einer Pressemitteilung der US-Behörde Federal Trade Commission (FTC) hervor. Vorausgegangen war ein jahrelanger Streit, der nun beigelegt ist. Oracle verpflichtet sich nicht nur über Gefahren bei ältere Software zu warnen, sondern auch Deinstallations-Tools bereitzustellen.
Wie aus einer Mitteilung der US-Behörde Federal Trade Commission (FTC) hervorgeht, verpflichtet sich Oracle, Anwender in Zukunft vor unsicheren Java-Versionen zu warnen. Außerdem muss es Deinstallationswerkzeuge für ältere Versionen zur Verfügung stellen. Vorausgegangen war ein jahrelanger Streit mit der FTC, die dem Konzern vorwarf, bei Sicherheitsaktualisierungen nicht in jedem Fall ältere Versionen gelöscht und damit die Systeme der Verbraucher angreifbar gemacht habe.
Oracle räumt zugleich eine Täuschung der Verbraucher ein, indem es sie nicht über Sicherheitsrisiken aufklärte. Dies muss es jetzt über Kanäle wie Social Media und Web verbreiten und dort auch erklären, wie sich ältere Versionen deinstallieren lassen. Zudem wurde der Konzern verpflichtet, keine irreführenden Aussagen mehr über den Upgrade-Prozess zu machen.
Die US-Behörde hat zusätzlich einen Blogbeitrag mit dem Titel “Was ist schlimmer als kalter Kaffee? Altes Java!” veröffentlicht. Dort schreibt Direktorin Jessica Rich: “Wenn die Software eines Unternehmens auf Abermillionen Rechner installiert ist, ist es wichtig, dass es dazu korrekte Aussagen macht und dass Updates wirklich die Sicherheit der Software gewährleisten. Die Einigung zwingt Oracle jetzt, den Verbrauchern Tools und Informationen bereitzustellen, die sie brauchen, um ihre Rechner zu schützen.”
Oracle habe seit der Übernahme von Sun Microsystems im Jahr 2010 von den erheblichen Sicherheitsrisiken vor allem durch ältere Java-Versionen gewusst, über die Hacker bösartige Software auf die Rechner der Nutzer einschleusen konnten. Dennoch wurde bei den Anwendern fälschlicherweise die Erwartung geweckt, dass die Installation von Updates ein ausreichendes Sicherheitsniveau gewährleiste. Oracle habe aber bis August 2014 nicht darauf hingewiesen, dass durch ein Update immer nur die Vorgängerversion vom System deinstalliert wurde. Eventuell vorhandene Versionen vor Java SE 6 Update 10 blieben auf dem Rechner und sorgten für zusätzliche Risiken. Dass der Update-Prozess unsicher war, wusste Oracle: In der FTC vorliegenden internen Oracle-Dokumenten steht, dass der Update-Prozess “nicht aggressiv genug ist oder einfach nicht funktioniert.”
In Kürze will die FTC noch den gesamten Vorgang auf ihrer Website dokumentieren. Bevor die Vereinbarung in Kraft tritt, kann sie außerdem noch bis 20. Januar kommentiert werden.
Oracle hatte seine strittige Update-Praxis im Sommer 2014 geändert. Die Einigung mit der FTC soll offenbar als abschreckendes Beispiel auf die ganze Branche wirken.
Unverändert wird an Oracles Java-Politik kritisiert, dass es während des Installationsvorgangs versucht, dem User eine Toolbar unterzujubeln. Früher ließ es sich dafür von Ask.com bezahlen, heute heißt der Werbekunde Yahoo. Erst vor einer Woche beschwerte sich der deutsche Interessenverbund Java User Groups e.V. (iJUG) darüber und warf Oracle vor, damit dem Ansehen der Java-Plattform zu schaden.
Browser-Plug-ins wie Java, Flash und Silverlight sind immer wieder von Sicherheitsproblemen betroffen. Nutzer sollten auf diese Plug-ins entweder komplett verzichten oder sie so konfigurieren, dass sie nicht automatisch Inhalte abspielen, sondern erst die Zustimmung des Anwenders einholen. Dieses als „Click-To-Play“ bekannte Feature bieten unter anderen Firefox und Chrome.
Download:
- Adobe Flash Player 20.0.0.228/235
- Java Runtime Environment 8.0 Update 65/66
- Uninstaller für Flash Player
- Uninstaller für Java
[mit Material von Florian Kalenda, ZDNet.de]
Tipp: Was haben Sie über Datenbanken gespeichert? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.