Компания Oracle представила внеплановые обновления Java SE 7 Update 17 и Java SE 6 Update 43 с исправлением проблем безопасности CVE-2013-1493 и CVE-2013-0809, которым присвоен наивысший уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. Обе уязвимости затрагивают 2D-подистему Java SE и проявляются только при использовании браузерного Java-плагина. Так как одна из уязвимостей уже активно эксплуатируются в Сети для распространения вредоносного ПО, пользователям Java-плагина рекомендуется не откладывать установку обновления. Интересно, что о наличии указанной уязвимости компании Oracle было известно 1 февраля, но исправление не было включено в февральские обновления с устранением проблем безопасности, что в итоге сказалось в появлении эксплоитов для ещё не исправленной проблемы.
Источник