Oracle, accordo per le patch insicure

Oracle ha raggiunto un accordo con la Federal Trade Commission per chiudere un’opposizione aperta nei suoi confronti e relativa alla sicurezza di Java.

Non è tuttavia propriamente Java – spesso ventre molle dei sistemi degli utenti attraverso le falle sfruttabili da terzi – direttamente al centro della questione, ma il processo di aggiornamento adottato da Oracle per l’applicazione desktop Java SE che avrebbe lasciato gli utenti scoperti e soprattutto ignari di questo.

Secondo la tesi accusatoria di FTC, fin dal 2010 Oracle non avrebbe rilasciato aggiornamenti in grado di correggere completamente i problemi e le falle riscontrate nel software e soprattutto non avrebbe correttamente disinstallato le precedenti versioni di Java dalle macchine degli utenti, che potevano dunque ancora essere colpite dai malintenzionati. Oracle, inoltre, avrebbe mancato di informare correttamente i propri utenti di tale insicurezza lasciandoli in balia delle intrusioni. “Oracle non ha comunicato – dice FTC – o non lo ha fatto correttamente, che in diverse occasioni l’aggiornamento di Java SE non avrebbe cancellato o sostituito le vecchie versioni di Java SE sul computer dell’utente, con la conseguenza che queste avrebbero ancora lasciato il computer degli utenti vulnerabile ad attacchi”.

Tali falle avrebbero finito per coinvolgere la base degli utenti di Java SE, stimata in oltre 850 milioni di PC solo nella sua versione più aggiornata e soprattutto Oracle era a conoscenza di tale minaccia, come testimoniato dalle comunicazioni interne all’azienda in cui, per esempio, i suoi dirigenti affermavano esplicitamente che “il meccanismo di aggiornamento di Java non è abbastanza aggressivo o efficace”.

Nei termini dell’ accordo proposto per archiviare il caso, Oracle ha pubblicato uno strumento per disinstallare le vecchie versioni del software .

Claudio Tamburrino