[新聞] 甲骨文認了，謊稱Java更新安全無虞，願釋工具移除不安全的舊版消失

看板Gossiping作者TZUYIC時間8年前 (2015/12/22 15:46)推噓5(9推 4噓 19→)

留言32則, 22人參與討論串1/1

Ref. http://www.ithome.com.tw/news/101779 甲骨文認了，謊稱Java更新安全無虞，願釋工具移除不安全的舊版甲骨文未明確告知用戶，更新程式只會刪除電腦上最近Java SE版本，根本不會移除更早仍存在安全性有問題的舊版Java SE，導致用戶電腦更容易被駭 iThome 文/陳文義 | 2015-12-22發表 http://goo.gl/wsfiEU 美國聯邦貿易委員會(FTC)指控甲骨文(Oracle)公司多年來欺瞞用戶其Java SE的安全性更新安全無虞，但事實上卻是存在重大缺失；甲骨文決定與FTC和解，並加強告知用戶其產品的安全性問題。 FTC在21日發表聲明指出，甲骨文自從2010年取得Java平台產品後，一直都知道Java SE的舊版本存在重大安全問題，包括能夠讓駭客透過惡意程式竊取用戶的金融服務帳號密碼，以及其他敏感個資等，卻仍然對用戶承諾，只要安裝了Java SE更新程式，電腦即安全無虞。但甲骨文卻未明確告知用戶更新程式只會刪除電腦上最近一個版本的Java SE，至於其他更早前版本，則根本不會刪除，導致用戶的電腦上仍存在安全性有問題的舊版Java SE，導致用戶電腦更容易被駭。據估計，Java平台在全球約8.5億台電腦上被安裝使用，是最廣受採用的軟體產品之一，其安全性問題也因此格外受到重視。 FTC指出，甲骨文早在2011年的內部文件中便顯示其知悉「Java產品更新機制不夠積極或根本無效」，導致大量針對舊版Java SE的攻擊發生。儘管甲骨文後續在官網上發布通知表示有必要移除舊版Java，但卻未解釋本身提供的產品更新服務根本不包括移除舊版本的功能，並直到2014年8月後發布的更新才會將更早前的版本移除。 FTC認為，甲骨文一方面強調產品更新的安全益處，卻又不揭露其更新服務存在的限制，是一種欺騙的行為，並違反相關法令。甲骨文在同意與FTC和解後，必須透過官網與社群媒體加強告知用戶相關問題，並在更新過程中明確告知用戶電腦上是否仍有舊版本與其風險，並提供移除舊版本的選項。 FTC建議用戶將Java升級至版本8，並利用Java網站上的移除工具移除所有舊版程式。 -- Google Chrome好像已經不給用Java了…… -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 219.68.5.138 ※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1450770397.A.52F.html

→

DASHOCK

12/22 15:47, , 1^F

12/22 15:47, 1^F

→

Iknow

12/22 15:47, , 2^F

12/22 15:47, 2^F

→

weirdgrape

12/22 15:47, , 3^F

12/22 15:47, 3^F