Java nasconde una grave minaccia per tutte le versioni di Windows. Secondo due diversi ricercatori, infatti, Java Web Start framework (JWSF, che semplifica lo sviluppo delle applicazioni) può essere sfruttato per creare siti pericolosi.
Java.
Come altri attacchi, anche in questo caso il primo passo è indurre l'utente a visitare una pagina web disegnata ad hoc o compromessa. Qui un tag HTML permetterebbe ad un malintenzionato di eseguire codice arbitrario pericoloso.
Tutti i browser esistenti sono in pericolo, proprio perché la vulnerabilità è nel plug-in, e non nel browser stesso. Disabilitare il plug-in non risolvere il problema, perché il componente usato come veicolo, JWSF, è installato separatamente, come parte dell'ambiente Java. In altre parole chiunque abbia una versione recente di Java è potenzialmente a rischio.
"Java.exe e javaw.exe supportano una parametro da linea di comando nascosto e non documentato. Permette di caricare una libreria JavaVM alternativa (jvm.dll o libjvm.so)", e saltare così tutte le misure di sicurezza.
Sun è stata informata del problema, e si attende ora un aggiornamento di Java. Tavis Ormandy, uno dei ricercatori, ha detto di aver diffuso le informazioni scoperte perché "è nell'interesse di tutti, tranne che in quelli del produttore". Il ricercatore ha anche creato una dimostrazione accessibile a tutti, a questo indirizzo.
Al momento esistono solo alcune soluzioni parziali, consigliate da Symantec. Si ritiene improbabile che possano essere colpiti anche Linux e Mac OS.