Всего через две недели после того, как Oracle официально взяла на себя ответственность за Java на OS X с запуском Java SE 7 Update 6, была обнаружена новая уязвимость Java, представляющая значительную угрозу для систем, использующих это программное обеспечение. Krebs on Security вчера осветил эту проблему, отметив, что она затрагивает все версии Java 7 в большинстве браузеров.

Новость об уязвимости (CVE-2012-4681) появилась в конце прошлой недели в довольно скудном посте в блоге FireEye, в котором говорилось, что эксплойт, по-видимому, работает против последней версии Java 7, которая является версией 1.7, Update 6. Сегодня утром исследователи Andre’ M. DiMino и Mila Parkour опубликовали дополнительные сведения о целевых атаках, замеченных на данный момент, подтвердив, что уязвимость нулевого дня затрагивает Java 7 от Update 0 до 6, но, похоже, не влияет на Java 6 и более ранние версии.

Первоначальные сообщения указывали на то, что код эксплойта работал против всех версий Internet Explorer, Firefox и Opera, но не работал против Google Chrome. Однако, по данным Rapid 7, разрабатывается модуль Metasploit, который успешно развертывает этот эксплойт против Chrome (по крайней мере, на Windows XP).

В отчете отмечается, что Oracle переходит на ежеквартальный цикл обновлений для Java, что означает, что следующее плановое обновление Java SE 7 запланировано только на октябрь, но неясно, насколько быстро компания предпримет шаги для решения этой проблемы. В промежутке некоторые эксперты по безопасности разрабатывают неофициальный патч, а пользователям рекомендуется просто отключить Java, если им не нужно, чтобы она была активна в их системах.

Computerworld сообщает, что проблема действительно затрагивает полностью обновленные Mac с Java 7 на базе OS X Mountain Lion.

Дэвид Мейнор, технический директор Errata Security, подтвердил, что эксплойт Metasploit, опубликованный менее чем через 24 часа после обнаружения ошибки, эффективен против Java 7, установленной на OS X Mountain Lion.

«Этот эксплойт работает на OS X, если вы используете JRE 1.7 [Java Runtime Environment]», — сказал Мейнор в обновлении к предыдущему посту в блоге.

JRE 1.7 включает в себя самую последнюю версию Java 7 под названием «Update 6», которая была выпущена ранее в этом месяце.

Было обнаружено, что и Safari 6, и Firefox 14 уязвимы для этой проблемы в системах OS X.

У Apple, конечно, были свои проблемы с уязвимостями Java, особенно с вредоносным ПО Flashback, которое смогло заразить более 600 000 Mac, воспользовавшись эксплойтом в Java 6, который уже был исправлен Oracle для большинства платформ, но не Apple для OS X. Именно из-за мелких предыдущих инцидентов, подобных Flashback, Apple уже переносила ответственность за обновления Java на Oracle, что происходит с Java 7. Но хотя пользователи Mac теперь будут получать обновления Java одновременно с пользователями на других платформах, Java остается одной из самых популярных целей для злоумышленников, стремящихся скомпрометировать системы в широком масштабе.

Обновление: CNET сегодня утром отметил, что большинство пользователей Mac в настоящее время не подвержены этой проблеме, поскольку Java 7 не установлена по умолчанию на Mac. Текущая версия Java, установленная на Mac, пока остается Java 6, поэтому пользователям пришлось бы вручную обновиться до Java 7, чтобы их системы стали уязвимы.