Java SE

Die Schwachstelle steckt in der Java-Laufzeitumgebung (JRE) von Oracle Java SE, genauer in deren Concurrency-Komponente, die nebenläufige Programmabläufe verwaltet. Ursache ist ein Fehler bei der Typprüfung: Eine für nebenläufige Zugriffe gedachte Array-Klasse stellt nicht sicher, dass das zugrunde liegende Array tatsächlich vom erwarteten Objekttyp ist. Ein Angreifer kann diese fehlende Prüfung ausnutzen, um aus der Ferne eingeschleusten Code auszuführen oder die Schutzmechanismen der Java-Sandbox zu umgehen, die nicht vertrauenswürdigen Code eigentlich einsperren soll. Dadurch werden Vertraulichkeit, Integrität und Verfügbarkeit des betroffenen Systems beeinträchtigt; in manchen Fällen lässt sich auch ein Absturz der virtuellen Maschine herbeiführen. Da Java weit verbreitet ist und Code etwa über manipulierte Inhalte im Browser ausgeliefert werden kann, eröffnet die Lücke einen praktikablen Weg, fremde Rechner zu kompromittieren.