A Virtual Security Research kutatói a Java Web Starton keresztül távoli kódfuttatásra lehetőséget adó sebezhetőséget fedeztek fel a Java futtatókörnyezet egyes verzióiban.
A Java Web Start lehetőséget ad a felhasználóknak, hogy böngészőjükön keresztül Java alkalmazásokat töltsenek le és futtassanak egyetlen kattintással. A JWS alkalmazások egy JNPL kiterjesztésű XML fájl segítségével töbek közötött azt írják le a felhasználó böngészője számára, hogy hol találhatók a futtatandó JAR állományok, valamint hogy ezeket a fájlokat milyen jogosultsági szinten futtassa a Java interpreter. Emelt jogosultsági szinten csak megbízható forrásból származó, aláírt alkalmazások futtathatók.
Magát a JPNL fájlt azonban nem kell ilyen módon aláírni, egy rosszindulatú támadó azonban ennek az allománynak a segítságável felülírhatja tk. a java.home illetve java.ext változók értékét, amelyek a felhasználható osztálykönyvtárak (akár távoli hoszton lévő) helyét írják le.
Amennyiben a támadó létrehoz egy olyan JPNL konfigurációt, melyben a JAR fájlok egy potenciálisan megbízható féltől származnak, az eredeti osztálykönyvtárak helyett viszont a saját maga által összeállított csomagokat adja meg, a felhasználó a támadó által tetszés szerint módosított metódusokat fogja használni, megemelt jogosultsági szinten.
Az érintett programverziók:
- JDK és JRE 6 Update 10 vagy korábbiak
- JDK és JRE 5.0 Update 16 vagy korábbiak
- SDK és JRE 1.4.2_18 vagy korábbiak