Login


 
Newsletter
Werbung

Mi, 23. Dezember 2015, 10:23

Unternehmen

Oracle muss wegen Java zu Kreuze kriechen

Der US-amerikanische Softwarehersteller Oracle einigete sich mit der US-Handelsbehörde FTC darauf, dass sich das Unternehmen öffentlich der jahrelangen Täuschung von Anwendern schuldig bekennt.

Oracle

Vorausgegangen waren Anschuldigungen der Federal Trade Commission (FTC), der in den Vereinigten Staaten sowohl das Wettbewerbsrecht als auch der Verbraucherschutz obliegt, Oracle habe seine Kunden über Jahre über die Sicherheit von Java SE getäuscht. Dabei ging es im Besonderen um die Update-Politik des Unternehmens hinsichtlich der von über 850 Millionen Anwendern genutzten Software.

Die FTC hat Oracle beschuldigt, bei der Aktualisierung der auf vielen PCs vorinstallierten Software die Kunden nicht über Sicherheitsrisiken informiert zu haben. Diese erwuchsen laut der FTC aus dem Vorgehen Oracles, bei der Aktualisierung der Software alte, unsichere Versionen von Java SE nicht entfernt zu haben. Damit habe Oracle 850 Millionen Anwender über die Sicherheit ihrer Installationen getäuscht und sie anfällig für Hacker gemacht.

Die FTC stellt fest, Oracle sei sich seit der Übernahme von Java von Sun Microsystems im Jahr 2010 der signifikanten Sicherheitsprobleme bewusst gewesen, die ältere Versionen von Java SE auf den Rechnern der Anwender darstellen. Die Lücken in der Software hätten Hackern die Konstruktion von Malware erlaubt, die unter anderem per Phishing massenhaft Usernamen und Passwörter von Bankkonten und Kreditkarten abschöpften.

Oracle habe beim Updateprozess den Anwendern das Gefühl vermittelt, durch die Aktualisierung sei sowohl die Java-Installation als auch der Rechner sicher. Dabei habe Oracle die Anwender nicht darüber informiert, dass beim Upgrade lediglich die jeweils letzte Version der Software entfernt wurde, ältere Versionen jedoch nicht. Versionen vor Java SE 6 Update 10 seien überhaupt nicht entfernt worden. Spätestens seit 2011 sei dieser Sachverhalt Oracle nachweislich bekannt gewesen. Die Updatepolitik sei erst jedoch im August 2014 angepasst worden und die Hinweise dazu auf Oracles Webseite seien nicht ausreichend informativ gewesen.

In einer formellen Einigung hat Oracle jetzt zugestimmt, sein Updateverfahren so abzuändern, dass während des Updates der Anwender über die Risiken informiert wird, falls er ältere Versionen von Java SE installiert hat, und ihm Mittel an die Hand zu geben, um diese zu entfernen. Ferner muss Oracle diese Sachverhalte und den Inhalt der Einigung mit der FTC in sozialen Medien wie Facebook und Twitter sowie auf seiner Webseite in geeigneter Form breitflächig darlegen. Zudem sind Oracle in Zukunft irreführende Aussagen über die Sicherheit seiner Software untersagt. Wenn bis zum 20. Januar aus der Öffentlichkeit keine Gründe gegen die Vereinbarung vorgebracht werden, erhält diese Gültigkeit.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung