Sikkerhetsforskriftene i Java slår fast at Java-snutter ikke skal kunne gis adgang til en maskins systemressurser. I MRJ 1.5 er dette likevel mulig gjennom en Apple-teknologi kjent som JDirect, skriver Cnet. Apple har reagert ved å fjerne MRJ 1.5 fra sitt Java-nettsted, og har lovet en patch snarest.
Apple bekrefter problemet, som gjør at en ondsinnet Java-programmerer kunne laget en Java-snutt med virusaktig oppførsel. Det er ikke kjent at slikt skal ha forekommet. Apples egne ingeniører sier de har utviklet kode som utnytter feilen, men hevder at de ondsinnet opptreden ikke alltid lar seg utløse.
Tilsvarende teoretisk sikkerhetssvikt har vært rapportert for Java-implementasjoner tidligere, samt for Microsofts konkurrerende ActiveX-teknologi. Særlig har ulike utgaver av nettleseren Microsoft Internet Explorer vært utsatt.
