甲骨文認了，謊稱Java更新安全無虞，願釋工具移除不安全的舊版
 

http://www.ithome.com.tw/news/101779

甲骨文認了，謊稱Java更新安全無虞，願釋工具移除不安全的舊版

甲骨文未明確告知用戶，更新程式只會刪除電腦上最近Java SE版本，根本不會移除更早仍存在安全性有問題的舊版Java SE，導致用戶電腦更容易被駭

美國聯邦貿易委員會(FTC)指控甲骨文(Oracle)公司多年來欺瞞用戶其Java SE的安全性更新安全無虞，但事實上卻是存在重大缺失；甲骨文決定與FTC和解，並加強告知用戶其產品的安全性問題。

FTC在21日發表聲明指出，甲骨文自從2010年取得Java平台產品後，一直都知道Java SE的舊版本存在重大安全問題，包括能夠讓駭客透過惡意程式竊取用戶的金融服務帳號密碼，以及其他敏感個資等，卻仍然對用戶承諾，只要安裝了Java SE更新程式，電腦即安全無虞。

但甲骨文卻未明確告知用戶更新程式只會刪除電腦上最近一個版本的Java SE，至於其他更早前版本，則根本不會刪除，導致用戶的電腦上仍存在安全性有問題的舊版Java SE，導致用戶電腦更容易被駭。

據估計，Java平台在全球約8.5億台電腦上被安裝使用，是最廣受採用的軟體產品之一，其安全性問題也因此格外受到重視。

FTC指出，甲骨文早在2011年的內部文件中便顯示其知悉「Java產品更新機制不夠積極或根本無效」，導致大量針對舊版Java SE的攻擊發生。

儘管甲骨文後續在官網上發佈通知表示有必要移除舊版Java，但卻未解釋本身提供的產品更新服務根本不包括移除舊版本的功能，並直到2014年8月後發佈的更新才會將更早前的版本移除。

FTC認為，甲骨文一方面強調產品更新的安全益處，卻又不揭露其更新服務存在的限制，是一種欺騙的行為，並違反相關法令。

甲骨文在同意與FTC和解後，必須透過官網與社群媒體加強告知用戶相關問題，並在更新過程中明確告知用戶電腦上是否仍有舊版本與其風險，並提供移除舊版本的選項。

FTC建議用戶將Java升級至版本8，並利用Java網站上的移除工具移除所有舊版程式。



難道老賈之前打死都不肯裝FLASH

對於安全性的堅持,可惜廚師還是擋不住FBI的進逼

Adobe的Flash 和 甲骨文的Java不能混為一談

雖然兩個都是常見的發生安全漏洞的程式

去年的舊文也拿來貼...

硬扯Flash+Apple是啥鬼

從以前的Sun 到現在的Oracle
JAVA安全性問題從來沒少過
真的不容易維護吧...

前面貼了一大串批Java的不是之後，去踹了Flash一腳 XDDD

針對Java真是個讓個人很感冒的東西
他的更新對MIS根本是一場災難
尤其牽扯到金融財務作業的
銀行端要是沒有常常Follow 他最新的Runtime環境
隨便改一個Function 名稱程式就掛了，而且他們還特別愛做這種事？
以前他會說更新是為了安全，現在看來根本就是屁。
結論就是不要用Java最安全、也不會遇到無法向下相容的窘境。

說真的
ActiveX還比較安全
只要是正常通過審核的
還不太會出問題
最好笑的是一堆人喊著要報稅瀏覽器元件改用JAVA跟FLASH或是AIR
卻沒想過安全性更低

小弟只是一般使用者,想請教為何網路銀行或報稅客戶端要用到Java或ActiveX?國外很多大型網站就算金融相關一般Browser也跑得很好,如PayPal, Google wallet,Browser會用到Java通常是Applet,但也沒看過這些網站會啟用Applet,是否還用其他特殊的功能?

用得越少，能力越強
用得越多，有漏洞的機會越多

因為
這牽涉到憑證的來源
例如 都是通過點子郵件申請店討的裝置憑證
然後在該裝置上使用
不需要用到外接裝置
自然OK
可是如果要控制周邊
例如讀卡機 WEBCAM 指紋感應器 TPM NFC等等
自然就會需要這些外掛元件
最簡單的 WEB ATM就是使用晶片卡
自然人憑證也是
而網銀 則大多數是使用需要另外申請的電子憑證

java會無法向下相容的情況絕大多數都是因為安全性倍提高
原本舊程式無法符合新的安全機制所以不能運作
這應該是要修改原本的程式以符合安全機制, 而不是罵Java爛
況且這種安全機制修改提升在瀏覽器也很常見
例如同源策略影響, 連 Iframe 都不能隨便指定別的網站了, 但以前可以
難道也是瀏覽器愈做愈爛嗎?
而且 "隨便改一個Function 名稱程式就掛了" ...... Java API 不會發生這種事