Die im Java Deployment Kit (JDT) entdeckte Schwachstelle ermöglicht es einem potentiellen Angreifer, über manipulierte Links zusätzliche Parameter an Java Web Start zu übergeben. So soll sich weiterer Java-Code nachladen und die Java-VM dazu bewegen lassen, lokale Anwendungen zu starten. Tavis Ormandy, der das Leck entdeckt hat, macht die minimale Validierung der URL-Parameter für das Leck verantwortlich. Dazu hat er einen Demo-Exploit veröffentlicht, der vorführt, wie sich über die Schwachstelle der Windows-Taschenrechner starten lässt. Laut Ormandy sind alle Versionen seit Java 6 Update 10 von der Schwachstelle betroffen.
Wie er ausserdem bemerkt, hat er Sun (bzw. Oracle) über das Problem informiert, doch wird die Sicherheitslücke da als nicht allzu kritisch beurteilt, weshalb man auf die Veröffentlichung eines Patches ausserhalb des regulären Update-Zyklus‘ verzichten wolle.
(rd)