A Sun honlapján Java virtuális gépe (JVM) újabb verzióját tette közzé a napokban. A most kiadott JVM néhány apróbb hiba mellett egy olyan súlyos sebezhetőséget is javít, amelyen keresztül a Java beépített védelmi rendszere teljesen megkerülhető, és a futtatókörnyezetekben tetszőleges kód futtatható.

A Java virtuális gépben az alkalmazások egy ún. sandbox környezetben futnak, amelynek lényege, hogy meggátolja a számítógép a futtatókörnyezeten kívüli erőforrásainak elérését, és tetszőleges műveletek végrehajtását. Ennek köszönhetően a Java alkalmazások különlegesen biztonságosnak tekinthetők, hiszen elméletileg semmilyen a gazdagép ellen irányuló támadásra nem használhatók fel.

Sajnálatos módon ez csak az elméletben működik így, mert a gyakorlatban az osztályok betöltését végző ClassLoader egy olyan hibát tartalmaz, ami megbízhatatlan kódot tartalmazó tetszőleges külső osztályok ellenőrzés nélküli használatát, és ezen keresztül a beépített Security Manager védelmi rendszerének kijátszását teszi lehetővé. Az igen súlyos hiba a Netscape és a Mozilla böngészőkből bizonyítottan kihasználható, de a megfelelő JVM feltehetőleg az Opera-t és az Internet Explorer-t is sebezhetővé teszi.

A Sun a JRE és a Java SDK 1.4.1_03, 1.3.1_08 és 1.2.2_015 valamint megelőző változatait érintő sebezhetőség javítására újabb változatot tett közzé futtatókörnyezetéből és fejlesztőkészletéből is. A Windows mellett Linux és Solaris platformon futó új JRE és Java SDK változatok szabadon letölthetők a cég honlapjáról.