Oracle hat Nutzer über Java-Sicherheit getäuscht
Java ist auf Abermillionen Rechnern zu Hause. Dennoch bietet das Programm immer wieder Angriffsflächen. Jetzt bekommt Oracle für einen unsicheren Update-Mechanismus einen Rüffler von der amerikanischen Federal Trade Commission.
Oracle muss jetzt die Nutzer von Java darüber informieren, dass Java SE potentiell unsicher ist und muss den Anwendern Tools zur Verfügung stellen, um ältere, unsichere Versionen von den Rechnern zu entfernen. Das teilt die Federal Trade Commission mit. Oracle reagiert damit auf die Vorwürfe der FTC, dass Oracle die Verbraucher über die Sicherheit von Java Standard Edition getäuscht hat. Im Rahmen einer Einigung hat Oracle daher zugestimmt, den Nutzern entsprechende Tools an die Hand zu geben, um ältere Versionen zu deinstallieren.
Oracle, so der Vorwurf der amerikanischen Verbraucherschutzbehörde, habe bei Sicherheitsaktualisierungen nicht in jedem Fall ältere Versionen von den Rechnern gelöscht und damit die Systeme der Verbraucher angreifbar gemacht.
Nun muss Oracle öffentlich zugeben, dass das Unternehmen die Verbraucher getäuscht hat, in dem es nicht über die Sicherheitsrisiken, die mit den Upgrades von Java SE einhergehen, informiert hatte. Oracle ist jetzt verpflichtet, die Öffentlichkeit über verschiedene Kanäle wie Social Media oder via Web, über die Einigung mit der FTC zu informieren und aufzuzeigen, wie sich ältere Versionen deinstallieren lassen. Gleichzeitig muss sich Oracle verpflichten, keine irreführenden Aussagen mehr über den Upgrade-Prozess zu verbreiten.
Auch die FTC informiert in dem Blog: “Was ist schlimmer als schaler Kaffee? Altes Java! über das Problem.
“Wenn die Software eines Unternehmens auf Abermillionen Rechner installiert ist, ist es wichtig, dass die Aussagen dazu richtigen sind und dass Updates auch die Sicherheit der Software gewährleisten”, kommentiert Jessica Rich, Director der FTC. “Die Einigung zwingt Oracle jetzt, den Verbrauchern die Tools und Informationen bereit zu stellen, die sie brauchen, um ihre Rechner zu schützen.”
Oracle, so die FTC weiter, habe seit der Übernahme von Sun Microsystems im Jahr 2010 von den erheblichen Sicherheitsrisiken vor allem durch ältere Java-Versionen gewusst, über die Hacker bösartige Software auf die Rechner der Nutzer einschleusen konnten.
Oracle habe fälschlicherweise die Erwartung bei den Nutzern geweckt, dass über die Installation von aktuellen Updates das Programm ein ausreichendes Sicherheitsniveau gewährleiste. Oracle habe aber nicht darauf hingewiesen, dass durch das Update auf die neueste Version stets immer nur die Vorgängerversion vom System deinstalliert wurde. Versionen vor Java SE 6 Update 10, die noch installiert waren, blieben auf dem Rechner und sorgten damit für zusätzliche Risiken. Auch habe Oracle von dem unsicheren Update-Prozess gewusst. So gehe aus internen Oracle-Dokumente, die der FTC vorliegen hervor, dass der Update-Prozess “nicht aggressiv genug ist oder einfach nicht funktioniert.”
Oracle habe zwar darüber informiert, dass es nötig sei, ältere Versionen von Java SE zu deinstallieren, aber nicht ausreichend klar gemacht, dass durch das Update auf eine neue Version, die älteren Versionen nicht automatisch gelöscht wurden, was in den Augen der Behörde eine Verletzung der FTC-Regeln bedeute. Das habe Oracle erst im August 2014 geändert.
Eine Dokumentation über den gesamten Vorgang werde die FTC in Kürze auf den eigenen Web-Seiten veröffentlichen. In den nächsten Tagen können noch Kommentare zu der Entscheidung abgegeben werden. Erst dann soll entschieden werden, ob die Entscheidung der Verbraucherschutzbehörde so umgesetzt wird.
Oracles hat die eigene Update-Praxis bereits seit Sommer vergangenen Jahres geändert. Dennoch dürfte das Aufsehen, das diese Einigung mit der FTC erregt, künftig dafür sorgen, dass solche Sicherheitsrisiken von Anbietern nicht mehr in Kauf genommen werden. Diese Entscheidung soll wohl auch eine Signalwirkung für andere Software-Hersteller haben.
Die Verfügung der FTC ist nicht die einzige Kritik an Oracles Politik bei Java. Vor wenigen Wochen hatte eine Java-Nutzergruppe kritisiert, dass Oracle über die Java-Installation auch eine nervige Yahoo-Toolbar den Nutzern unterjubelt. Oracle schade damit dem Ansehen von Java, so der Vorwurf.