Oracle согласилась выполнить требования Федеральной комиссии США по торговле в части информирования пользователей о том, что при обновлении Java SE на их компьютерах сохраняются устаревшие модули среды исполнения, которые остаются уязвимыми к хакерским атакам.
Oracle согласилась выполнить требования Федеральной комиссии США по торговле (FTC) в обмен на прекращение расследования в отношении корпорации.
Компания пошла на это после того, как FTC выдвинула обвинение в том, что корпорация вводит пользователей в заблуждение относительно безопасности среды исполнения Java SE. Согласно FTC, Oracle была не права, указывая, что патчи для Java SE делают среду безопаснее путем устранения уязвимостей. Однако по крайней мере с 2010 г. при установке патчей уязвимости продолжают оставаться в старых модулях Java SE, которые остаются на компьютере.
«Oracle не говорит или не предпринимает достаточных усилий для того, чтобы донести до пользователей тот факт, что в многочисленных случаях обновление Java SE не удаляет и не заменяет устаревшие версии Java SE на компьютере, поэтому он остается уязвим к атакам, которые хакеры могут провести благодаря уязвимостям, содержащимся в устаревших версиях Java SE», — заявили в FTC.
По данным FTC, инсталлятор Java SE при установке обновления не удаляет версии среды ниже Java SE version 6 update 10. Комиссия начала соответствующее расследование из-за популярности Java SE. Эта среда исполнения установлена более чем на 850 млн персональных компьютеров в мире.
Условия соглашения
По условиям соглашения, Oracle обязуется в процессе установки обновления уведомлять пользователей о наличии на их компьютерах устаревших версий Java SE, сообщать об опасности их сохранения и предлагать возможность их удаления. Кроме того, Oracle обязуется проинформировать своих пользователей о достигнутых с FTC договоренностях, в том числе посредством социальных сетей, и объяснить, как можно самостоятельно удалить старые версии среды. Соглашение опубликовано на сайте FTC. В течение 30 дней комиссия будет принимать комментарии к нему. После этого ведомство примет решение об исполнении соглашения.
Осведомленность компании
Oracle в действительности была осведомлена о наличии проблемы. Во внутренних документах корпорации говорилось, что после установки патчей злоумышленники по-прежнему имеют возможность совершать атаки при помощи уязвимостей в прежних версиях среды. В результате руководство компании пришло к выводу, что «механизм обновления Java недостаточно агрессивен или просто не работает», сообщают эксперты. Тем не менее, компания никогда не информировала об этом своих пользователей и продолжала использовать этот же самый механизм обновления в Java SE 7 и в наиболее свежей версии Java SE 8.
«Прекратите искать уязвимости в наших продуктах»
В августе 2015 г. глава Oracle по безопасности Мэри Энн Девидсон (Mary Ann Davidson) опубликовала в корпоративном блоге заметку, в которой попросила исследователей прекратить изучать продукты компании с целью поиска в них уязвимостей. По словам Девидсон, для этого исследователи применяют обратный инжиниринг, что является нарушением лицензионного соглашения на использование продуктов.
Кроме того, Девидсон дала понять, что Oracle лучше справляется с поиском уязвимостей и получает множество ложных сообщений. «Потому, пожалуйста, не тратьте ваше время на то, чтобы сообщить нам, что увидели маленьких зеленых человечков в нашем коде», — заявила она в своем обращении. Вместо этого, добавила она, стоило бы заняться укреплением своей собственной ИТ-инфраструктуры. Вскоре после публикации заметка была удалена.
