Власти США обвинили Oracle в обмане пользователей относительно безопасности Java

Oracle согласилась с обвинениями федеральной торговой комиссии США (Federal Trade Commission, FTC) касательно обмана клиентов компании при обновлении программного обеспечения. В результате 850 млн. компьютеров могли оказаться незащищенными перед хакерскими атаками, сообщает Reuters со ссылкой на заявление регулятора. Опасность для пользователей заключается в том, что в процессе установки Java SE на ПК программа обновления игнорирует наличие старых версий ПО. В результате на компьютере оказывается одновременно несколько версий Java SE. «Oracle не говорит или не предпринимает достаточных усилий для того, чтобы донести до пользователей тот факт, что в многочисленных случаях обновление Java SE не удаляет и не заменяет устаревшие версии Java SE на компьютере, поэтому он остается уязвим к атакам, которые хакеры могут провести благодаря уязвимостям, содержащимся в устаревших версиях Java SE», — заявила FTC.

Злоумышленник может воспользоваться более уязвимой версией для инфицирования жертвы вредоносным ПО. В некоторых случаях на ПК жертв была установлена устаревшая версия Java SE 2008 г. выпуска.

Согласно постановлению комиссии, Oracle обязана уведомить всех пользователей о небезопасности старых версий Java SE. Компания также обязуется предоставить инструкции и советы по удалению устаревших версий ПО. В настоящее время Oracle открыла специальную web-страницу, где пользователи могут загрузить средство удаления устаревших версий Java. «Когда производимое компанией ПО используется на сотнях миллионов компьютеров, все заверения производителя должны быть правдивы, а исправления безопасности — действительно устранять ошибки и уязвимости. Постановление FTC обяжет Oracle предоставить пользователям Java информацию и инструменты для защиты компьютера», — заявила глава бюро защиты потребителей FTC Джессика Рич.

Согласно FTC, в момент приобретения Java в 2010 г. Oracle знала о серьезных проблемах с безопасностью, которые имели более ранние версии Java. Во внутренних документах корпорации говорилось, что после установки патчей злоумышленники по-прежнему имеют возможность совершать атаки при помощи уязвимостей в прежних версиях ПО. По данным FTC, инсталлятор Java SE при установке обновления не удаляет версии среды ниже Java SE version 6 update 10.Тем не менее, компания никогда не информировала об этом своих пользователей и продолжала использовать этот же самый механизм обновления в Java SE 7 и в наиболее свежей версии Java SE 8.