Het gewraakte lek is al in de zomer van vorig jaar aan Sun gerapporteerd, en maakt het volgens Julien Tinnes mogelijk om een exploit te schrijven die "100 procent puur Java is", en dus niet afhankelijk is van omringende factoren als platform en applicatie. Tinnes is van Google, maar blogt hier op persoonlijke titel.

Reden dat Tinnes nu met een uitgebreide beschrijving komt, is dat de meest recente update van Apple geen fix biedt voor het lek dat dus onderhand een half jaar geleden al door Sun zelf is verholpen. Niet alleen hij kaart de kwetsbaarheid aan. Een andere blogger, Landon Fuller, heeft een proof of concept-exploit op zijn site gezet die misbruik maakt van het lek.

De zwakte houdt in dat code die normaalgesproken in de Java sandbox gehouden dient te worden alsnog daarbuiten wordt gedraaid. Daarbij kan de beveiliging van Java zelf omzeilt worden. Wat het extra gevaarlijk maakt is dat het volgens Tinnes om pure Javacode gaat; de meeste andere exploits werken door geheugencorruptie uit te lokken en vervolgens de daar code te draaien. Omdat geheugencode per platform verschilt, is het maar de vraag of een exploit dan aanslaat. In dit geval hoeft dat niet, en wordt de volledige exploit in Java aangeroepen. "Deze exploit werkt op alle platformen, alle architecturen en alle browser!", schrijft Tinnes. "Dit benadert de heilige graal van kwetsbaarheden in de client."

Tinnes adviseert Macgebruikers om Java uit te zetten totdat er wel een patch beschikbaar komt. Bron: Techworld