A mi, deshabilitando NoScript, si que se ejecuto calc.exe con "Firefox/3.6.3".

El fallo esta en la logica de JavaVM como plugin del navegador web a la hora de pasarle los argumetos al handler (javaws.exe) /* no los filtra y son controlados por el atacante via ciertos parametros */ asi que ira tanto en windows (.dll) como Linux (.so); al menos eso parece..

Vaya, si es que Java (JavaVM plugin para Browsers) es uno de los puntos claves de entrada por el "poder" de ejecucion que puede tener sobre el S.O desde lal Web.. No es como otros parsers que son embedded en el Browser (CSS ..), asi que ojo con Java!

 

Al parecer Rubén lo encontró bastante antes (fuente: twitter de Rubén), pero al publicar Tavis Ormandy gran parte del 0day, no le quedó otra que echar el resto (0day++)

Aún así parece que estos dos no fueron los únicos researchers en encontrar el flag, hay más, esto sin contar los que lo hayan usado o estén usando "in the wild"...

Source: http://blog.cr0.org/2010/04/javacalypse.html

me salvo mi kaspersky

por lo que se ve tambien firefox recomienda desactivarlo (te da un aviso que se recomienda por motivos de seguridad y pide el reinicio, ya me salio pocos dias despues de la aparicion de esto XD)