Oracle признала опасность Java

Соглашение с FTC Oracle согласилась выполнить требования Федеральной комиссии США по торговле (FTC) в обмен на прекращение расследования в отношении корпорации. Компания пошла на это после того, как FTC выдвинула обвинение в том, что корпорация вводит пользователей в заблуждение относительно безопасности среды исполнения Java SE. Суть обвинения Согласно FTC, Oracle была не права, указывая, что патчи для Java SE делают среду безопаснее путем устранения уязвимостей. Однако по крайней мере с 2010 г. при установке патчей уязвимости продолжают оставаться в старых модулях Java SE, которые остаются на компьютере. «Oracle не говорит или не предпринимает достаточных усилий для того, чтобы донести до пользователей тот факт, что в многочисленных случаях обновление Java SE не удаляет и не заменяет устаревшие версии Java SE на компьютере, поэтому он остается уязвим к атакам, которые хакеры могут провести благодаря уязвимостям, содержащимся в устаревших версиях Java SE», — заявили в FTC. По данным FTC, инсталлятор Java SE при установке обновления не удаляет версии среды ниже Java SE version 6 update 10. Комиссия начала соответствующее расследование из-за популярности Java SE. Эта среда исполнения установлена более чем на 850 млн персональных компьютеров в мире. http://filearchive.cnews.ru/img/cnews/2015/12/22/oraclet500.jpg"> [b]Oracle признала небезопасность Java SE[/b] [b]Условия соглашения[/b] По условиям соглашения, Oracle обязуется в процессе установки обновления уведомлять пользователей о наличии на их компьютерах устаревших версий Java SE, сообщать об опасности их сохранения и предлагать возможность их удаления. Кроме того, Oracle обязуется проинформировать своих пользователей о достигнутых с FTC договоренностях, в том числе посредством социальных сетей, и объяснить, как можно самостоятельно удалить старые версии среды. Соглашение опубликовано на сайте FTC. В течение 30 дней комиссия будет принимать комментарии к нему. После этого ведомство примет решение об исполнении соглашения. [b]Осведомленность компании[/b] Oracle в действительности была осведомлена о наличии проблемы. Во внутренних документах корпорации говорилось, что после установки патчей злоумышленники по-прежнему имеют возможность совершать атаки при помощи уязвимостей в прежних версиях среды. В результате руководство компании пришло к выводу, что «механизм обновления Java недостаточно агрессивен или просто не работает», сообщает Ars Technica. Тем не менее, компания никогда не информировала об этом своих пользователей и продолжала использовать этот же самый механизм обновления в Java SE 7 и в наиболее свежей версии Java SE 8. [b]«Прекратите искать уязвимости в наших продуктах»[/b] В августе 2015 г. глава Oracle по безопасности [b]Мэри Энн Девидсон[/b] (Mary Ann Davidson) опубликовала в корпоративном блоге заметку, в которой [url=http://www.cnews.ru/news/top/2015-12-22_oracle_priznala_nebezopasnost_java] Ссылка на источник[/url][img]http://filearchive.cnews.ru/img/cnews/2015/12/22/oraclet500.jpg">
Oracle признала небезопасность Java SE Условия соглашения По условиям соглашения, Oracle обязуется в процессе установки обновления уведомлять пользователей о наличии на их компьютерах устаревших версий Java SE, сообщать об опасности их сохранения и предлагать возможность их удаления. Кроме того, Oracle обязуется проинформировать своих пользователей о достигнутых с FTC договоренностях, в том числе посредством социальных сетей, и объяснить, как можно самостоятельно удалить старые версии среды. Соглашение опубликовано на сайте FTC. В течение 30 дней комиссия будет принимать комментарии к нему. После этого ведомство примет решение об исполнении соглашения. Осведомленность компании Oracle в действительности была осведомлена о наличии проблемы. Во внутренних документах корпорации говорилось, что после установки патчей злоумышленники по-прежнему имеют возможность совершать атаки при помощи уязвимостей в прежних версиях среды. В результате руководство компании пришло к выводу, что «механизм обновления Java недостаточно агрессивен или просто не работает», сообщает Ars Technica. Тем не менее, компания никогда не информировала об этом своих пользователей и продолжала использовать этот же самый механизм обновления в Java SE 7 и в наиболее свежей версии Java SE 8. «Прекратите искать уязвимости в наших продуктах» В августе 2015 г. глава Oracle по безопасности Мэри Энн Девидсон (Mary Ann Davidson) опубликовала в корпоративном блоге заметку, в которой Ссылка на источник