Oracle deberá corregir desinformación sobre la seguridad de Java

Desinstalación insuficiente puso en riesgo la seguridad informática de los usuarios. Oracle deberá informar que la compañía no hizo lo suficiente para salvaguardar la seguridad de los usuarios del software Java SE.

La Comisión Federal de Comercio de Estados Unidos (FTC) anunció el 21 de diciembre que Oracle ha suscrito un acuerdo extrajudicial donde se da por superada una acusación según la cual la empresa habría desinformado a los usuarios sobre la seguridad ofrecida en actualizaciones de la plataforma Java.

Cuando Oracle compró Sun Microsystems en 2010, la empresa adquirió también Java. Desde entonces, la compañía ha publicado numerosas actualizaciones de seguridad para el software con el fin de eliminar vulnerabilidades relativamente graves. Según FTC, la empresa en reiteradas oportunidades aseguró que las actualizaciones darían mayor seguridad y protección al sistema.

Versiones obsoletas permanecieron instaladas

Sin embargo, durante el proceso de actualización Oracle obvió en gran medida a informar a los usuarios que la actualización de Java SE únicamente desinstalaba automáticamente la versión más reciente del software. Por lo tanto, las versiones anteriores de Java, que también estén instaladas en la computadora, no son eliminadas durante la actualización.

Asimismo, ninguna versión de Java SE fue eliminada automáticamente del sistema antes de la que la compañía publicase Java SE versión 6, actualización 10.

Lo anterior implica que los usuarios que procuraron instalar las actualizaciones más recientes de Java, de todas formas podían tener instalada en sus sistemas una versión antigua, y altamente vulnerable, sin siquiera saberlo.

La empresa conocía el problema

Según la entidad, en 2011 ya había un memorando interno en Oracle según el cual el mecanismo de actualización no funcionaba adecuadamente, a la vez que la empresa sabía que había ataques dirigidos específicamente a versiones anteriores de Java. Sólo en 2014 la empresa activó un mecanismo de actualización para Java SE que también eliminaba las versiones antiguas, aparte de la más reciente instalada en el sistema.

El acuerdo extrajudicial no implica sanción alguna contra Oracle. Sin embargo, exige que la empresa a partir de ahora notifique a los usuarios que tengan versiones antiguas de Java SE instalada en sus sistemas, informándole sobre el riesgo que esto conlleva, y ofreciéndoles herramientas que les permitan eliminar estas versiones obsoletas.

Necesidad de informar

Asimismo, la entidad gubernamental exige la empresa difundir una notificación, en redes sociales y en su propio sitio, donde se informe sobre el acuerdo extrajudicial y sobre la forma en que los usuarios puedan eliminar las versiones antiguas de Java.

“Cuando el software de una empresa está instalado en cientos de millones de computadoras, es importante que sus declaraciones sean fidedignas y que sus actualizaciones de seguridad de hecho den seguridad al software”, dice Jessica Rich, directora de la oficina de protección al consumidor en FTC. La ejecutiva agrega: “el acuerdo extrajudicial con FTC requiere que Oracle proporciona a los usuarios de Java las herramientas y la información que necesitan para proteger sus computadoras”.

La herramienta ofrecida por Oracle para eliminar las instalaciones antiguas de Java está disponible en esta página.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022