Damit der Exploit greift, muss ein Anwender mit seinem Browser eine manipulierte Webseite ansteuern. Dort nutzt der Exploit die seit langem bekannte Sicherheitslücke in der Sandbox der Java Virtual Machine. Durch die Drive-by-Download-Lücke soll ein Applet auf eine höhere Systemstufe kommen und mehr Rechte erhalten.
Sun hat das Sicherheitsleck mit dem Java 6 Update 11 bereit im Dezember geschlossen. Apple dagegen ignoriert das Leck beharrlich. Deshalb sah sich Fuller veranlasst, die Gefährlichkeit der Sicherheitslücke zu demonstrieren. Fuller empfiehlt daher, Java in den Sicherheitseinstellungen des Browsers vollständig zu deaktivieren und das automatische Öffnen sicher geglaubter Dateien abzustellen. (Tecchannel/mst)