Популярный музыкальный сайт songlyrics.com был уличен в наличии вредоносного кода, пытающегося эксплуатировать критическую уязвимость в виртуальной машине Java от Oracle, установленной на 850 миллионов компьютеров по всему миру.

Опасный JavaScript использует брешь, описанную на прошлой неделе исследователем Тэвисом Орманди, о которой он незамедлительно сообщил разработчикам Java. Тем не менее, там сочли уязвимость недостойной выпуска внепланового обновления и отложили ее устранение до июля.

Главный аналитик AVG Technologies Роджер Томпсон, обнаруживший первую реальную атаку на эту брешь, сообщил, что songlyrics.com связывается с доменом assetmancomjobs.com, на котором запрашивает JAR-архив. Ошибка 404 при выполнении данного запроса свидетельствует о том, что контент пока не доступен. По его словам, музыкальный сайт, вероятно, был скомпрометирован злоумышленниками, поэтому эксперт посоветовал пока держаться от него подальше.

Баг в компоненте Java Web Start эксплуатируется на всех недавних версиях Windows, кроме того, он затрагивает и Linux. Защитить себя от этой уязвимости будет не так-то просто, поскольку одного отключения ActiveX или плагина для Firefox будет недостаточно. Данный инструментарий ставится отдельно от Java и это значит, что единственными возможными временными решениями являются установка специфичных для каждого браузера стоп-битов или внедрение дополнительных функций в списки контроля доступа.

Более подробно метод атаки описан здесь. Отчет Роджера Томпсона можно найти здесь.