La FTC (Federal Trade Commission) ha ordinato ad Oracle di rilasciare un tool che consenta di eliminare dal computer tutte le vecchie versioni di Java SE. L’agenzia statunitense che tutela i consumatori ha quindi chiesto all’azienda guidata da Larry Ellison di garantire agli utenti la massima sicurezza durante la navigazione web. Java SE è notoriamente uno dei software più vulnerabili in assoluto e bersaglio preferito degli hacker.
Java SE è oggi installato su oltre 850 milioni di computer, in quanto richiesto da molti siti che offrono contenuti interattivi. Per diversi anni, la procedura di aggiornamento del software non rimuoveva automaticamente le vecchie versioni del software. Oracle ha successivamente modificato la procedura che, tuttavia, non prevede la cancellazione delle versioni precedenti a Java SE 6u10. Sui computer degli utenti rimangono quindi versioni con gravi vulnerabilità che possono essere sfruttate per installare malware, rubare dati sensibili e altre informazioni mediante attacchi di phishing.
La FTC ha scoperto, leggendo alcuni documenti interni, che Oracle era a conoscenza del problema fin dal 2011, ma non ha fatto nulla nonostante il numero elevato di attacchi effettuati contro le vecchie versioni di Java SE. Inoltre, sul sito della software house non viene specificato che la procedura di update non rimuove le versioni rilasciate prima di agosto 2014.
L’agenzia statunitense ha ordinato ad Oracle di notificare agli utenti la presenza di versioni vulnerabili di Java SE durante l’installazione della nuova versione (attualmente la 8u66) e pubblicare sul sito informazioni chiare sulla procedura di disinstallazione.