Microsofts Internet Explorer 4.0 bevat een beveiligingsbug waardoor bestanden op de harde schijf van de gebruiker overschreven kunnen worden. Door de bug kunnen kwaadwillenden een Java-applet in hun webpagina’s opnemen die, na aangeroepen te zijn, ‘undercover’ zijn vernietigende werk op de lokale schijf kan starten.
De applet moet weliswaar bestandsnamen kennen om iets te kunnen beschadigen, maar gezien de standaard namen van de meeste Windows-bestanden kan de schade al snel aanzienlijk zijn. Het autoexec.bat-bestand en bepaalde .exe-bestanden bijvoorbeeld kunnen gemakkelijk vernietigd worden. De applet maakt gebruik van een Directx-component in de bèta-versie van de browser. Als de gebruiker de jongste versie van Java Virtual Machine draait, is ook Internet Explorer 3.0 er gevoelig voor. De bug treedt alleen op onder Windows 95, en niet onder Windows 3.1 of op de Mac. Onder NT zijn geen testen uitgevoerd.
Gedetailleerde informatie over de bug is te vinden ophttp://web.mit.edu/twm/www/expbug2. De enige bescherming op dit moment is het uitzetten van de Java-optie in Internet Explorer. Volgens genoemde site is Microsoft op de hoogte van het probleem en heeft het eenpatch opgenomen in de definitieve release van Internet Explorer 4.0, die voor 30 september is gepland. De oorzaak van het probleem zou liggen in Microsofts eigen uitbreidingen op Java, en niet in Java zelf.
