В фреймворке Java Web Start найдена серьезная уязвимость, позволяющая злоумышленнику загрузить и выполнить произвольный программный код на уязвимой системе. Проблема вызвана некорректной проверкой параметров, передаваемых JavaWS через командную строку, при этом эти параметры можно изменить через HTML-тег "object". Уязвимость наиболее ощутима для пользователей браузеров Internet Explorer или Mozilla Firefox (NPAPI-браузеры). По заявлению обнаруживших проблему исследователей, уязвимость присутствует в коде Java уже много лет. В настоящий момент наличие проблемы подтверждено в Windows и Linux. Исправления пока не выпущены, проблема отнесена к категории 0day-уязвимостей. В компании Oracle не считают уязвимость настолько критичной, чтобы выпускать внеочередное обновление. Для противодействия возможным атакам рекомендуется установить killbit-метку на "CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA" для Internet Explorer, а для Mozilla Firefox и других NPAPI-браузеров запретить доступ к файлу "npdeploytk.dll".