Der Sicherheitsexperte Tavis Ormandy ist auf eine schwere Sicherheitslücke in Java gestoßen. Seit Java Version 6 Update 10 findet sich im Java-Paket eine Komponente namens Java Deployment Toolkit (JDT). Sie dient dazu, dass Surfer schnell feststellen können, welche Java-Version sie installiert haben und startet bei Bedarf einen Update-Befehl. Die Komponente hat jedoch eine Schwachstelle, die es Angreifern gestattet, schädlichen Code auf einem Rechner einzuschleusen und auszuführen. In seinem
Blog-Eintrag, der die Schwachstelle beschreibt, verlinkt Ormandy auf eine harmlose Variante des Exploits, die nur den Rechner öffnet. Anstelle des Systemrechners könnte allerdings auch anderer, schädlicher Code ausgeführt werden.
Der Experte hat Sun auf die Sicherheitslücke aufmerksam gemacht, aber den Hinweis erhalten, man halte die Lücke nicht für schwerwiegend genug um sie außerhalb des vierteljährlichen Patch-Zyklus zu bearbeiten.
Die einzige Abhilfe ist im Moment, nur vertrauenswürdige Webseiten zu besuchen.