Tirón de orejas para Oracle sobre la seguridad de Java

La FTC, o Federal Trade Commission, de Estados Unidos, acusa a Oracle de haber engañado a los usuarios durante años al prometerles que actualizando Java estarían a salvo de malware y hackers. Lo que no se ha sabido hasta hace poco es que la actualización sólo eliminaba de manera automática la versión más reciente del software.

Una estrategia considerada peligrosa porque dejaba instalado en el ordenador versiones inseguras que podrían ser explotadas por los ciberdelincuentes.

La historia se complica si tenemos en cuenta que Java que la mayoría de los usuarios no saben que tienen este software, necesario para ejecutar muchas funciones basadas en web, como las calculadoras online, los chats o ver imágenes en 3D. Se calcula que Java está instalado en más de 850 millones de ordenadores.

La FTC asegura a través de un comunicado que Oracle ya advirtió en 2010 que las versiones obsoletas de Java tenían fallos de seguridad que dejaban a los usuarios vulnerables a ataques maliciosos. Inicialmente la herramienta de actualización de Java no eliminaba las viejas versiones del software, y aunque después fue modificada, seguía dejando instaladas versiones más antiguas.

Es decir, que en luagr de parchear la versión de Java afectada por vulnerabilidades de seguridad, la herramienta instalaba una versión nueva el software.

La Federal Trade Commission, que habla de la existencia de documentos internos que demuestran que Oracle conocía el problema y sabía que el mecanismo de actualización de Java no era “lo suficientemente agresivo o simplemente no funcionaba” desde 2011, ha pedido a la compañía de Larry Ellison que revise nuevamente la herramienta y ayude a los usuarios a eliminar todas las versiones antiguas de Java.

Entre otras cosas se pide a Oracle que durante el proceso de actualización notifique a los usuarios si tienen versiones de Java antiguas; que se les informe sobre los riesgos que supone tener software no válido y que se les ofrezca la opción de desinstalarlo.