Claudio Tamburrino

Oracle, accordo per le patch insicure

Gli aggiornamenti di Java SE non facevano abbastanza per tappare le falle e soprattutto non disinstallavano le versioni precedenti del software. La Federal Trade Commission statunitense ha stipulato un accordo con Oracle

Roma - Oracle ha raggiunto un accordo con la Federal Trade Commission per chiudere un'opposizione aperta nei suoi confronti e relativa alla sicurezza di Java.

Non è tuttavia propriamente Java - spesso ventre molle dei sistemi degli utenti attraverso le falle sfruttabili da terzi - direttamente al centro della questione, ma il processo di aggiornamento adottato da Oracle per l'applicazione desktop Java SE che avrebbe lasciato gli utenti scoperti e soprattutto ignari di questo.

Secondo la tesi accusatoria di FTC, fin dal 2010 Oracle non avrebbe rilasciato aggiornamenti in grado di correggere completamente i problemi e le falle riscontrate nel software e soprattutto non avrebbe correttamente disinstallato le precedenti versioni di Java dalle macchine degli utenti, che potevano dunque ancora essere colpite dai malintenzionati. Oracle, inoltre, avrebbe mancato di informare correttamente i propri utenti di tale insicurezza lasciandoli in balia delle intrusioni. "Oracle non ha comunicato - dice FTC - o non lo ha fatto correttamente, che in diverse occasioni l'aggiornamento di Java SE non avrebbe cancellato o sostituito le vecchie versioni di Java SE sul computer dell'utente, con la conseguenza che queste avrebbero ancora lasciato il computer degli utenti vulnerabile ad attacchi".
Tali falle avrebbero finito per coinvolgere la base degli utenti di Java SE, stimata in oltre 850 milioni di PC solo nella sua versione più aggiornata e soprattutto Oracle era a conoscenza di tale minaccia, come testimoniato dalle comunicazioni interne all'azienda in cui, per esempio, i suoi dirigenti affermavano esplicitamente che "il meccanismo di aggiornamento di Java non è abbastanza aggressivo o efficace".

Nei termini dell'accordo proposto per archiviare il caso, Oracle ha pubblicato uno strumento per disinstallare le vecchie versioni del software.

Claudio Tamburrino
Notizie collegate
  • SicurezzaRansomware all'attacco dei server LinuxIndividuata una nuova genýa di codice malevolo pensata per prendere in ostaggio i file sui server Linux, chiedendo poi un riscatto in cambio della loro decodifica. Fortunatamente il meccanismo non funziona come dovrebbe
  • SicurezzaTwitch, portatore attivo di malware per utenti SteamUn nuovo pericolo si aggira per la chat di Twitch e prende di mira gli utenti di Steam, i quali corrono il rischio di vedersi sottrarre l'oggettistica virtuale in loro possesso a prezzi irrisori. Steam non pu˛ farci niente, Twitch censura
5 Commenti alla Notizia Oracle, accordo per le patch insicure
Ordina
  • che non ha cancellato le versioni vecchie. Altrimenti un commercialista in italia avrebbe bisogno di almeno 10 computer per far funzionare tutti quegli orribili software.
    non+autenticato
  • Nato come 'linguaggio universale' per lo sviluppo di applicazioni multipiattaforma, Java ha dimostrato in tutti questi anni come tale obiettivo sia una pura utopia. Invece di avere un ambiente unificato tra tutte le piattaforme abbiamo una pletora di ambienti diversificati entro le stesse piattaforme.

    Non so se sia un problema di Java o degli sviluppatori ma vedo continuamente programmi (specialmente quelli ministeriali) che devono avere versioni diverse a seconda della piattaforma e spesso richiedono una versione minima o smettono di funzionare dopo un aggiornamento di Java.

    Ne risulta che far convivere sullo stesso PC diversi programmi può diventare un incubo e porta al paradosso che lo stato imporrebbe l'aggiornamento delle macchine e poi fornisce applicativi che non ne sono compatibili.

    Se ora Oracle deve pure cancellare automaticamente le vecchie versioni, prevedo una marea di problemi per le aziende.
    non+autenticato
  • Write once, debug everywhere.
    non+autenticato
  • "Non è tuttavia propriamente Java - spesso ventre molle dei sistemi degli utenti attraverso le falle sfruttabili da terzi - direttamente al centro della questione"

    Sicuri che java sia "il ventre debole" ?
    a me pare proprio il contrario.
    Che poi la JVM abbia dei bug/falle di sicurezza che vanno messi a posto mi sembra fisiologico.
    non+autenticato
  • - Scritto da: mimmo
    > "Non è tuttavia propriamente Java - spesso ventre
    > molle dei sistemi degli utenti attraverso le
    > falle sfruttabili da terzi - direttamente al
    > centro della questione"
    >
    > Sicuri che java sia "il ventre debole" ?
    > a me pare proprio il contrario.
    > Che poi la JVM abbia dei bug/falle di sicurezza
    > che vanno messi a posto mi sembra
    > fisiologico.

    Ma si...
    Tanto le patch non servono a niente, il leader degli Espertoidi conferma: http://punto-informatico.it/b.aspx?i=4290694&m=429...
    non+autenticato