La FTC (Federal Trade Commission), l’antitrust statunitense, ha imposto ad Oracle un vero e proprio “giro di vite” su Java. Secondo i responsabili dell’autorità d’Oltreoceano, Oracle non avrebbe fatto abbastanza, in passato, per proteggere gli utenti di Java e difenderli dai tanti attacchi che si sono susseguiti nel corso degli anni.
Utilizzare un sistema con una versione obsoleta di Java è oggi un po’ meno rischioso perché i browser web stanno via a via abbandonando il supporto per i vecchi plugin NPAPI e, in ogni caso, la versione dei plugin installati viene controllata per verificare che il componente in uso sia sicuro e non contenga vulnerabilità note.
Avevamo parlato dei rischi a cui va incontro chi non aggiorna la piattaforma Java (ovviamente se installata sul sistema in uso), ad esempio, nell’articolo Problemi di sicurezza Java: proteggere browser e sistema.
La FTC ha quindi oggi intimato ad Oracle di non limitarsi alla disinstallazione dell’ultima versione di Java ma anche procedere con la rimozione di tutte le precedenti versioni del pacchetto che dovessero essere ancora presenti sul sistema dell’utente.
Un’operazione del genere è sicuramente utile ancor’oggi ma lo sarebbe stata ancor di più se fosse stata posta in essere in passato.
Le ultime versioni dei vari browser, infatti, sono più sicure perché effettuano una serie di controlli sui plugin installati e, in certi casi (Chrome) non permettono l’uso di vecchi plugin (anche Firefox abbandonerà a breve i plugin NPAPI).
Ad ogni modo, suggeriamo la lettura degli articoli Come non prendere virus e malware quando si scaricano programmi e Browser più sicuro, quali i passaggi da seguire.
Sulla base della prescrizione dell’antitrust USA, comunque, Oracle dovrà da oggi farsi parte attiva nel verificare la sicurezza della configurazione del pacchetto Java.
Le parole della FTC (questo il testo della risoluzione) sono piuttosto taglienti: le indicazioni di Oracle sulla sicurezza della procedura di installazione degli aggiornamenti Java sarebbero state fuorvianti. Un approccio che la FTC ha ritenuto assolutamente fuori luogo vista la grande diffusione del pacchetto Java SE, installato – sempre secondo l’antitrust – su circa 800 milioni di sistemi a livello mondiale.
Nel caso in cui, trascorsi 30 giorni dall’approvazione ufficiale della risoluzione, Oracle non dovesse ottemperare a quanto prescritto, potrà subire una sanzione amministrativa pari a 16.000 euro per ogni incidente.