Reparationerne til Java Runtime Evironment 1.3.1, 1.4.2, 5.0 og 6.0 lapper huller som hackere kunne bruge til at komme forbi sikkerhedsrestrektioner, manipulerer data, se hemmelig information og på anden måde kompromitterer en ikke-opdateret maskine. I blandt sikkerhedsbristerne er der to, som åbner for modtagelsen af inficerede filer fra web-sites, og forsøger at skabe adgang til andre ikke-inficerede computere i netværket. I følge flere analytikere fra Stanford Universitetet er følgen af angrebet en omgåelse af firewall-beskyttelsen.
Andre sikkerhedsrisici i Jave Runtime Environmet og Java Web Start giver angriberne mulighed for at læse lokalt placerede filer, overskrive dem og skjule Java-genererede advarsler.
Selvom Sun ikke klassificerer deres advarsler, siger det danske IT-sikkerhedsfirma Secunia, at de fem advarsler og de 11 sikkerhedsbrister er "yderst kritiske" - deres næsthøjeste alarmeringsniveau.
Nogle af truslerne begrænser sig til at hidrøre specifikke JRE-versioner, men Sun's advarsler er svære at afkode, da firmaet ikke er særlig klar i mælet, når de, ligesom Microsoft, fortæller om inficeret software. Hverken JRE eller web Start har en indbygget automatisk opdateringsfunktion. Brugerne skal selv downloade og aktiverer funktionen fra dette site:http://java.sun.com/javase/downloads/index.jsp
Der blev, som sædvanligt, ikke nævnt noget om Mac OS X i advarslerne. Sun leverer ikke opdateringer af JRE eller andre Java-komponenter til Mac. I stedet er det Apple selv, der udsender Java-opdateringerne i deres egne sikkerhedsopdateringer. Det har forårsaget frustration hos flere mac-brugere, der mener, at Apple ikke har opdateret Java-koderne siden februar måned.
Oversat af Bo Madsen
