شرکت اوراکل باید در وب‌گاهش اعتراف کند که امنیت جاوا را رعایت نکرده است

شرکت اوراکل چنان به‌‌روزرسانی‌های نرم افزار Java SE را بد سرهم بندی کرده است که اکنون باید اطلاعیه تحقیرآمیزی در وب‌گاه خود برای دو سال آینده قرار دهد.
از زمان خریده شدن شرکت سان Sun توسط اوراکل، به‌‌روزرسانی‌های نرم‌افزاری برای Java SE تنها روی آخرین نسخه‌های این سامانه‌ عامل منتشر می‌شود. اگر شما چندین نسخه Java SE را بر روی سامانه‌ عامل خود نصب کرده باشید، تنها آخرین نسخه‌ این نرم‌افزار هنگام نصب و یا ارتقاء آن حذف می‌شوند که موجب می‌شود نسخه‌های قدیمی‌تر که دارای امنیت کمتری هستند روی سامانه باقی بمانند و راه را برای سوء‌استفاده‌ی نفوذگرها و بدافزارها باز نمایند. این نوع آسیب‌پذیری‌ها که در کمین رایانه‌ها نشسته‌اند موجب می‌شوند که آن‌ها بتوانند محتویات آن‌ها را سرقت کرده، رمزهای عبور آن‌ها را دزدیده و ….
چرا شما باید چندین نسخه از یک نرم‌افزار را روی سامانه‌ی‌‌ خود داشته باشید؟ کدهای ناامیدکننده‌ی اوراکل هرگز نسخه‌های قدیمی‌تر Java SE را ازروی سامانه‌‌ی شما پاک نمی‌کنند: بنابراین هر به‌روزرسانی نسخه‌های قدیمی آسیب‌پذیر را مانند بمب ساعتی باقی می‌گذارند. بر طبق نظر ناظر کمیسیون تجارت آمریکا FTC، اوراکل در سال ۲۰۱۱ از این نقص نرم‌افزار خود خبر داشته است و در یکی از خبرهای داخلی خود گفته است: «ساز و کار به‌‌روزرسانی جاوا به اندازه کافی مفید نیست و یا حتی کار نمی‌کند.»
اوراکل در آگوست سال ۲۰۱۴ این نصاب نرم‌افزاری را درست کرده است تا رونوشت نسخه‌های قدیمی‌تر Java SE را از روی سامانه‌ی کاربر پاک کند ولی هنوز FTC با این غول فن‌آوری کالیفرنیا در تقابل است زیرا که نسخه‌های نرم‌افزار Java SE ظاهراً روی ۸۵۰ میلیون دستگاه نصب شده است. شکایت‌نامه‌ی تنظیم‌شده علیه اوراکل آن را متهم میکند که حقوق حفاظت از مشتریان را به واسطه‌ی دروغ‌گویی درباره‌ی امنیت نرم‌افزارهای خود زیر پا گذاشته است.
در گزارش جلسه‌ی حل و فصل مناقشه که در روز دوشنبه منتشر شد، اوراکل باید ابزارهایی برای افراد ارائه کند تا سامانه‌های آن‌ها را از شر نسخه‌های قدیمی‌تر Java SE آزاد کند و یا این‌که با جریمه روبرو خواهد شد. این کار ممکن است شرکت‌های تولیدکننده‌ی ضدبدافزار نظیر Avast،AVG، ESET North America، آویرا، مک‌آفی، سیمنتک، و ترند میکرو، و موزیلا تولیدکننده‌ی فایرفاکس را تشویق کند تا مشاوران امنیتی خود را برای مقابله با این نقص نرم‌افزار Java SE فراخوانی کنند.
بر طبق این تنظیم‌نامه:
اوراکل در اطلاع‌رسانی به مشتریان خود مبنی بر این‌که به‌‌روزرسانی‌های Java SE به طور خودکار تنها آخرین نسخه‌ی این نرم‌افزار را پاک و جایگزین می‌کنند و سایر نسخه‌های آن را بدون تغییر روی سامانه‌ی شخص باقی می‌گذارند و هیچ‌کدام از نسخه‌های پیش از نسخه‌یJava SE ۶ update ۱۰ را حذف نمی‌کنند، ناتوان عمل کرده است.
در نتیجه پس از به‌روزرسانی Java SE مشتریان هنوز نسخه‌های قدیمی و آسیب‌پذیر را روی سامانه‌ خود دارند که آن‌ها را در برابر خط نفوذ آسیب‌پذیر نگه می‌دارد.
این غول صنعت آی‌تی باید به مشتریان خود در فرآیند به‌‌روزرسانی Java SE اطلاع دهد که اگر نسخه‌های قدیمی و به روز نشده از این نرم‌افزار را نصب کرده‌اند در معرض خطر هستند، و به آن‌ها امکان این را بدهد تا نسخه‌های قدیمی را حذف کنند. به علاوه که این شرکت نیاز دارد تا اطلاعیه‌ای گسترده از طریق شبکه‌های اجتماعی و وب‌گاه خود درباره‌ی این گزارش حل اختلاف منتشر کند و در آن نحوه‌ی حذف‌کردن نسخه‌های قدیمی این نرم‌افزار را شرح دهد.
بر طبق حکم پیش‌نویسی که کمیسیون تجارت آمریکا منتشر کرده است، شرکت اوراکل باید این اطلاعیه را در وب‌گاه خود در معرض دید عموم قرار دهد:
مشتریان عزیز Java SE :
ما این پیام را از این جهت برای شما ارسال می‌کنیم که ممکن است شما نسخه‌هایی از نرم‌افزار Java SE را روی سامانه‌ خود بارگزاری، نصب و یا به‌‌روزرسانی کرده باشید. کمیسیون تجارت فدرال و آژانس ملی حمایت از مصرف‌کنندگان ما را متهم کرده‌اند که در مورد امنیت نرم‌افزار Java SE مشتریان خود را فریب داده‌ایم. با توافقی که در مورد دستورالعمل صادره به دست آمد به شما اطلاع می¬دهیم که چگونه می‌توانید از اطلاعات شخصی خود بر روی رایانه‌هایتان به وسیله‌‌ی حذف نسخه‌های قدیمی Java SE از روی سامانه‌ی‌ عامل خود محافظت کنید. لطفاً مراحل توصیه شده را قدم به قدم هر چه زودتر انجام دهید.
این خلاصه‌ای از طرح دعوای FTC بود. کمیسیون تجارت آمریکا شرکت ما را متهم کرده است که در گذشته هنگامی که شما نسخه‌ی‌ جدیدی از Java SE را روی سامانه‌ی‌ خود نصب می‌کردید و یا آن را به‌‌روزرسانی می‌کردید، نسخه‌های قدیمی‌تر آن را جایگزین نمی‌کرده است بلکه این نسخه‌ها در کنار نسخه‌های دیگر روی سامانه‌‌ی شما باقی می‌ماندند. بعدها پس از این‌که ما این روند را تغییر دادیم، نصب آخرین نسخه‌ی Java SE تنها نسخه‌ی قبل از آن را از سامانه‌ی‌ شما حذف می‌کرد. بنابراین در بسیاری از موارد هیچ‌گاه نسخه‌های پیش از تاریخ اکتبر ۲۰۰۸ از سامانه‌ی شما پاک نمی‌شده است.
حال مشکل کجاست؟ نسخه‌های قدیمی Java SE دارای خطرات جدی امنیتی هستند که ما آن‌ها را در نسخه‌های بعدی اصلاح کرده‌ایم. هنگامی که مردم نسخه‌ی جدیدی را بارگیری می‌کنند ما به آن‌ها اطلاع می¬دهیم که باید این نسخه‌ها را با نصب به‌‌روزرسانی‌های جدید و با حذف نسخه‌های قدیمی‌تر این نرم‌افزار از طریق ابزارهای حذف و نصب برنامه‌های سامانه‌ی ویندوز، ایمن نگه دارند. اما بر طبق نظر FTC این به اندازه‌ی لازم، کافی نبوده است. به‌روزرسانی به آخرین نسخه همیشه نسخه‌های قدیمی‌تر را حذف نکرده است. بنابراین بسیاری از رایانه‌ها چندین نسخه را با هم دارند.
این موجب آسیب‌پذیری‌های جدی امنیتی در سامانه‌ می‌شود. حتی اگر شما آخرین نسخه از نرم‌افزار Java SE را روی سامانه‌ خود نصب کرده باشید، باز هم ممکن است اطلاعات شخصی شما به دلیل نصب بودن نسخه‌های قدیمی‌تر و ناامن در معرض خطر قرار داشته باشند.
برای رفع این مشکل، از وب‌گاه جاوا به آدرس http://java.com/uninstall بازدید کنید. در آنجا دستورالعمل برای چگونگی حذف نسخه‌های قدیمی Java SE ارائه شده است. علاوه بر این این وب‌گاه، پیوندی را به صفحات ارائه می‌کند که ابزارهایی برای حذف نسخه‌های قدیمی ارائه می‌کنند. اگر اطلاعات بیشتری لازم دارید به آدرس اینترنتی http://java.com/uninstallhelp مراجعه کنید.
اگر اطلاعاتی در مورد این طرح شکایت لازم دارید با FTC تماس بگیرید.
سخن‌گوی شرکت اوراکل برای اظهار نظر فوری در این مورد در دسترسی نبوده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]