Java SE JDK and JRE

Die Schwachstelle steckt im Java Runtime Environment, also der Laufzeitumgebung, die in Oracles Java SE JDK und JRE enthalten ist und Java-Programme auf einem System ausführt. Der Defekt liegt im Bereich des Skripting-Mechanismus, konkret in der Skript-Engine für Applets. Über eine fehlerhafte Zugriffskontrolle können nicht vertrauenswürdige Java-Web-Start-Anwendungen sowie nicht vertrauenswürdige Java-Applets die eigentlich geltenden Beschränkungen umgehen. Dadurch kann ein Angreifer aus der Ferne beliebigen Code ausführen und so Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen Systems beeinträchtigen. Besonders heikel ist der Angriffsweg: Applets und Web-Start-Anwendungen werden typischerweise beim Aufruf einer präparierten Webseite automatisch geladen, sodass bereits der Besuch einer solchen Seite genügt, um den Schadcode auf dem Rechner des Opfers auszuführen. Betroffen sind Systeme, auf denen die Java-Laufzeitumgebung installiert ist und Applets oder Java Web Start verarbeitet werden.