Oracle må opplyse at selskapet ikke har gjort nok for å sørge for sikkerheten til brukere av Java SE-programvaren. (Foto: Peter Kaminski, Wikimedia Commons)

Java SE

Oracle må opplyse at selskapet villedet om Java-sikkerhet

Mangelfull avinstallering kan ha satt brukere i fare.

Amerikanske Federal Trade Commission (FTC) kunngjorde i går at Oracle har gått med på et forlik i en sak hvor selskapet har blitt anklaget for å villede forbrukere angående sikkerheten som ble tilbudt av oppdateringer til Java-plattformen.

Siden Oracle kjøpte Sun i 2010 og dermed overtok Java, har selskapet utgitt mange sikkerhetsoppdateringer til programvaren for å fjerne til dels svært alvorlige sårbarheter. Selskapet har ifølge FTC stadig vekk gitt løfter om at installasjon av oppdateringene skulle gjøre systemene trygge og sikre.

Gamle versjoner ble værende

Men i forbindelse med oppdateringsprosessen har Oracle i stor grad unnlatt å informere forbrukerne om at oppdatering av Java SE bare automatisk avinstallerer den nyeste, tidligere versjonen av programvaren. Eventuelt eldre utgave av Java som også har vært installert, har ikke blitt fjernet i forbindelse med oppdateringer.

I tillegg ble ingen versjoner av Java SE automatisk fjernet fra systemet før selskapet kom med Java SE version 6 update 10.

Forbrukere som sørget for å installere de nyeste oppdateringene, kunne likevel ha en eldre og svært sårbar versjon installert på systemet, uten å vite om det.

Var klar over problemet

Allerede i 2011 skal det i et internt notat i Oracle ha kommet fram at oppdateringsmekanismen ikke fungerte godt nok, samtidig som at det var kjent med angrep som ble rettet mot eldre Java-utgaver.

Først i august 2014 kom Oracle med en oppdateringsmekanisme for Java SE som også fjerner eldre versjoner enn den hittil nyeste som er installert på systemet.

Forlike innebærer tilsynelatende ingen straff, men i et forslag til en overenskomst kreves det at Oracle heretter varsler brukere som har gammel Java SE-utgaver installert på systemet, opplyser dem om risikoen ved dette og tilbyr dem verktøy for å fjerne de gamle utgavene.

Må informere

I tillegg beordres selskapet til å gå bredt ut med en kunngjøring, både i sosiale medier og på eget nettsted, hvor det opplyses om forliket og om hvordan forbrukere kan fjerne gamle utgave av Java-programvaren.

– Når et selskaps programvare finnes på hundrevis av millioner av datamaskiner, er det vesentlig at dets erklæringer er sanne og at dets sikkerhetsoppdateringer faktisk tilbyr sikkerhet til programvaren, sier Jessica Rich, som er direktør for FTCs kontor for forbrukerbeskyttelse, i en pressemelding.

– FTCs forlik krever at Oracle gir Java-brukere de verktøyene og den informasjonen de trenger for å beskytte datamaskinene sine, fortsetter Rich.

Oracles verktøy for å fjerne eldre Java-installasjoner fra en pc, finnes her. Pc-brukere som ikke vet at de behøver at å ha Java installert, bør avinstallere programvaren.

I Norge var det mange som installerte Java for å kunne bruke BankID, men de aller fleste brukerstedene tatt i bruk den Java-frie BankID-løsningen som ble lansert i september 2014.

Til toppen