Der Sicherheitsdienstleister eEye erörtert in einer Sicherheitsmeldung, dass Java Web Start (javaws.exe) beim Verarbeiten von präparierten JNLP-Dateien patzt. In der Folge tritt ein Pufferüberlauf auf und eingeschleuster Programmcode kann zur Ausführung gelangen. Das Java Network Launching Protocol (JNLP) beschreibt vom Server ausgelieferte XML-Dateien, die Informationen über eine Java-Anwendung wie Ablageort der JAR-Datei, Parameter für den Aufruf oder auch die Hauptklasse der Anwendung enthalten. Der Fehler beruht darauf, dass Web Start das codebase-Attribut einer JNLP-Datei in einen Puffer fester Größe kopiert, ohne vorher die Länge des Wertes zu prüfen.
In einer Fehlermeldung erläutert Sun, dass XSLT-Stylesheets in digitalen Signaturen von XML-Dateien nicht korrekt verarbeitet werden. In der Folge kann fremder Programmcode mit den Rechten der Anwendung zur Ausführung kommen, die die XML-Datei verarbeitet. Bei XSLT-Stylesheets handelt es sich um Regelwerke, nach denen XML-Daten in unterschiedliche Ausgabeformate umformatiert werden können. Der Fehler kann auf Suns Java System Application Server und Web Server zur kompletten Übernahme des Systems durch Angreifer führen. Betroffen sind Java 1.6 Update 1 und ältere Versionen.
Sun beschreibt in einem weiteren Fehlerbericht eine Denial-of-Service-Schwachstelle in Java. Die Java Secure Socket Extension (JSSE) verarbeitet SSL/TLS-Verbindungsaushandlungen nicht korrekt. Ein Server, der JSSE für SSL/TLS-Unterstützung nutzt und im Netz auf eingehende verschlüsselte Verbindungen lauscht, könnte durch manipulierte Anfragen komplett zum Stillstand kommen. Der Fehler betrifft die Java-Versionen 1.6 Update 1 und vorherige Fassungen, 5.0 Update 11 und frühere Versionen sowie Java 1.4.14 und ältere.