Als u de versie van Java op uw computer hebt geüpgraded en Oracle, dat Java-ontwikkelaar Sun Microsystems heeft overgenomen, u heeft verteld dat uw pc veilig zou zijn, bent u mogelijk opgelicht.
Oracle heeft de bewering van de Amerikaanse Federal Trade Commission opgelost dat het bedrijf klanten misleidde met informatie dat Java-updates ook beveiligingsfuncties op hun pc’s brachten. De overeenkomst vereist dat Oracle gebruikers op de hoogte stelt wanneer de versie van Java SE die op hun computers is geïnstalleerd, verouderd is.
Het is echter waar dat een update naar de nieuwste versie van de software een hoger beschermingsniveau biedt. Het geval van Oracle is echter heel anders. Het bedrijf heeft zijn klanten niet verteld dat oudere (en dus kwetsbare) versies van Java SE op de pc zouden blijven staan als er meerdere versies van Java op het systeem zouden worden geïnstalleerd.
Dat betekent dat oudere versies nog steeds op de loer liggen in de minder zichtbare hoeken van de computer, terwijl hackers gewoon wachten op het juiste moment om hun aanvallen uit te voeren. Java heeft een beruchte geschiedenis van het aantrekken van een bende hackers, grotendeels vanwege de brede toepassing van de software, van industriële machines tot pc’s. Verder wordt Java geplaagd door veel bugs, die vaak worden uitgebuit door aanvallers.
Beveiligingsexperts waren niet zonder waarschuwing over de implicaties van verouderde versies van Java. Volgens de computerwetten opent oude software nieuwe werelden van kwetsbaarheden die bedrijven en consumenten blootstellen aan zowel eenvoudige als geavanceerde aanvallen. Als u zich kunt herinneren, heeft de Amerikaanse overheid in de recente geschiedenis van gebruikers geëist dat ze Java-software die in hun browsers was geïnstalleerd, uitschakelden vanwege een zero-day-kwetsbaarheid.
Zoals vermeld in de schikking van Oracle met de FTC, heeft het bedrijf niet duidelijk gemaakt wat de juiste manier is om verouderde versies van Java te verwijderen toen het bedrijf in augustus van het voorgaande jaar updates voor de software uitbracht. De FTC beweerde ook dat Oracle in 2011 op de hoogte was van een kwetsbare update, maar ervoor koos om te zwijgen in plaats van zijn gebruikers te waarschuwen voor de situatie.
Om eerlijk te zijn, Oracle heeft geen gebrek aan herinneringen over oudere versies van Java die in de browser blijven en de beveiligingsrisico’s die ze vormen terwijl ze niet worden verwijderd. Maar in mededelingen op de website van Oracle werd niet uitgelegd dat software-updates niet automatisch oudere versies van Java-software verwijderen.
De FTC vereist nu dat Oracle gebruikers waarschuwt als hun versie van Java SE verouderd is en hen informeert over de veiligheidsrisico’s van het niet handmatig verwijderen van de oudere versie van de software van hun pc.
