A lanciare l’allarme è Tavis Ormandy, ingegnere di Google. C’è una vulnerabilità definita grave in tutte le versioni di Java che mette in pericolo i PC di coloro che si trovano ad utilizzare questa tecnologia. Si tratta di un exploit che, anche se pubblico, non è stato ancora usato in modo massiccio per effettuare attacchi in Rete. Secondo Ormandy, il punto debole è il framework Java Web Start: malintenzionati potrebbero creare una pagina Web ad hoc con appositi URL in grado di fare eseguire dei comandi a questo componente e scaricare sul PC applicazioni Java contenenti codice maligno ed eseguibili all’interno della virtual machine. Il fatto è che neanche disabilitando il plugin è possibile mettersi al sicuro da eventuali attacchi, onde per cui basta aver usato almeno una volta Java per essere a rischio di attacchi.

Anche Symantec ritiene la vulnerabilità di rischio elevato e considera coinvolti tutti i browser che utilizzano Java Runtime Environment, tra cui Internet Explorer, Mozilla Firefox e Google Chrome. Il ricercatore dichiara di aver informato Sun-Oracle della vulnerabilità riscontrata, ma i tecnici di Sun affermano di non ritenere il problema così grave da richiedere il rilascio di una patch d’emergenza.