Jakiś czas temu świat obiegła informacja o znalezieniu krytycznej luki bezpieczeństwa w JRE (Java Runtime Environment), która pozwalała za pośrednictwem komponentu Java Web Start uruchomić dowolny kod.
Dla przykładu błąd mógł zadziałać w momencie próby uruchomienia apletu Javy na dowolnej stronie HTML. Problem polegał na tym, iż nie istniał żaden mechanizm walidacji parametrów przekazywanych do wewnętrznie wywoływanej komendy „javaws.exe” tak, że odpowiednio przygotowany kod HTML umożliwiał przeprowadzenie ataku i wywołanie złośliwego kodu. Luka dotyczyła przede wszystkim systemów operacyjnych z rodziny Windows, choć prawdopodobnie było możliwe przeprowadzenie ataku również na systemach Linux.
Początkową reakcję ze strony Oracle trudno byłoby nazwać odpowiedzialną – mimo zanotowanych ataków, łata nie została przygotowana w trybie natychmiastowym; jednak dzięki działaniom i nagłośnieniu sprawy przez testerów bezpieczeństwa, firma zdecydowała się wydać (z lekką zwłoką) poprawkę luki wraz Java 6 Update 20. W samej notce do wydania Update 20 można znaleźć niepozorną informację o poprawie błędu; przetestowano również rozwiązanie i zaproponowany przez m.in. Travisa Ormandy z Google Security Research, sposób na włamanie nie jest już skuteczny.
Równolegle sposób na włam zaproponował także Ruben Santamarta, którego kod proof-of-concept można prześledzić na stronie : http://www.exploit-db.com/download/12122.
Ostatecznie lukę załatano, dzięki czemu po instalacji poprawki korzystanie z rozwiązań Java Web Start Framework powinno być bezpieczne. JWS jest ogólnie znanym i często stosowanym standardem – również w dLibrze, gdy z poziomu aplikacji czytelnika uruchamiamy aplikację administratora/redaktora.
Wszystkim, którzy jeszcze tego nie zrobili polecamy niezwłocznie zainstalować najnowszą poprawkę JRE.