Der Security-Experte Travis Ormandy hat eine Sicherheitslücke in Suns Java-Distribution für Windows aufgedeckt. Der Fehler steckt in der Komponente namens Java Deployment Kit (ein NPAPI-Plugin und ein ActiveX-Control), die Java-Webanwendungen (JNLP) ausführt und seit Java 6 Update 10 ausgeliefert wird. Die darin enthaltene Funktion "launch()" prüft übergebene URLs nur rudimentär und erlaubt somit Angreifern, manipulierte Werte an das "javaws"-Utility weiterzuleiten. Letztlich können Angreifer damit Programme auf den betroffenen Rechnern ausführen, wenn Anwender entsprechend manipulierte Websites besuchen. Der einzuschleusende Code muss allerdings auf einem über einen UNC-Pfad erreichbaren Server liegen

Das Java-Plugin im Browser abzuschalten, genügt nicht als Gegenmittel, denn die betroffene Komponente ist unabhängig davon. Eine ungefährliche Demonstration des Angriffs findet sich unter der URL http://lock.cmpxchg8b.com/bb5eafbc6c6e67e11c4afc88b4e1dd22/testcase.html . Der dortige "Exploit" versucht über ein Jar-File die Taschenrechner-Anwendung unter Windows zu starten.

Die E-Mail des Sicherheitsexperten Travis Ormandy an die Security-Mailingliste "Full Disclosure" enthält Hinweise darüber, wie die Lücke zu entschärfen ist.