Tavis Ormandy ha scoperto una vulnerabilità nel Java Deployment Toolkit (JDT) che può essere sfruttata per lanciare applicazioni arbitrarie su sistemi Windows usando un sito appositamente costruito.
La vulnerabilità può essere quindi utilizzata per scaricare ed eseguire un trojan attraverso protocollo FTP. JDT è stato inserito come parte di Java dall'edizione 6 Update 10. Come riportato da Ormandy il problema  è causato da un insufficiente filtraggio degli URL, che permette a parametri arbitrari di alimentare Java Web Start (JWS). Quest'ultimo componente è in grado di scaricare applicazioni Java esterne usando il Java Network Launching Protocol ed eseguirle sulla Virtual Machine.

Ormandy ha anche pubblicato un exploit dimostrativo che attraverso lo scaricamento del file calc.jar esegue la calcolatrice da linea di comando.

L'autore ha messo in guardia la Sun, riguardo il problema. Sun non considera però la problematica sufficientemente critica da richiedere una patch di emergenza al di fuori del suo ciclo trimestrale di rilascio.
Fino a quando il rilascio non verrà effettuato, l'autore ha proposto come soluzione quella di settare il kill bit per il JDT ActiveX control per i browser IE (come descritto all'indirizzo LINK) e restringere l'accesso a npdeploytk.dll per il browser Firefox.


Fonte: http://www.h-online.com/security/news/item/Java-exploit-launches-local-Windows-applications-974652.html