Impatto: CRITICO: esecuzione comandi arbitraria.
Il problema è stato scoperto circa una settimana fa. Con il solo invio di un messaggio di posta elettronica è possibile controllare la macchina target, creare, cancellare e installare trojan/malware. Il problema risiede nell’oggetto com.ms.activeX.ActiveXComponent, destinato ad includere controlli ActiveX nelle applicazioni Java; indi eseguire oggetti ActiveX falsamente contrassegnati come “sicuri”. Per default solo le applet java firmate potrebbero effettuare queste azioni; tuttavia, a causa di questo bug di progettazione, il limite non esisterebbe sotto Windows. Le versioni delle JVM vulnerabili sono incluse nei seguenti range: 2000-2446 2752-3194 3229-3240 3300-3317 Patch disponibili.
