Спустя чуть больше недели с момента выхода корректирующих обновлений Java SE 7 Update 15 и Java SE 6 Update 41 с устранением уязвимостей, в Сети зафиксирована вредоносная активность, поражающая системы пользователей через ранее неизвестную 0-day уязвимость (CVE-2013-1493) в браузерном Java-плагине. Уязвимость используется для распространения вредоносного ПО McRAT, поражающего Windows-системы при открытии специально модифицированных страниц на подконтрольных злоумышленникам сайтах.
Уязвимость позволяет осуществить запись и чтение произвольных областей памяти JVM. В процессе эксплуатации осуществляется поиск области памяти, в которой хранятся внутренние структуры данных JVM, после чего осуществляется обнуление участков данных областей с целью дезактивации менеджера безопасности. После успешной эксплуатации, под видом изображения осуществляется загрузка исполняемого файла McRAT и попытка его запуска.
Кроме того, имеется информация о включении нового 0-day эксплоита в типовые комплекты для совершения атак. Интересно, что распространяемый с использованием 0-day эксплоита троян Trojan.Naid, подписан с использованием корректного сертификата, полученного в результате атаки на инфраструктуру Bit9. До момента выхода обновлений с устранением уязвимости пользователям рекомендуется отключить Java-плагин в своём браузере.
Дополнение: Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, выявивший серию нашумевших уязвимостей в Java SE, сообщил, что после выпуска Java SE 7 Update 15 ему удалось выявить две неисправленные проблемы, которые в сочетании друг с другом позволяют обойти sandbox-ограничения Java (проблемы основаны на особенностях работы Reflection API и не связанны с вышеописанной 0-day уязвимостью). Для демонстрации уязвимости подготовлен рабочий прототип эксплоита, который отправлен компании Oracle вместе с детальным описанием сути проблемы. Примечательно, что в ответ компания Oracle заявила, что первая из проблем не является уязвимостью и не выходит за рамки допустимого поведения Reflection API, несмотря на то, что данная особенность является необходимым условием для проявления второй проблемы.