Компания Oracle представила внеплановые обновления Java SE 7 Update 17 и Java SE 6 Update 43 с исправлением проблем безопасности CVE–2013–1493 и CVE–2013–0809, которым присвоен наивысший уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента.

Обе уязвимости затрагивают 2D–подсистему Java SE и проявляются только при использовании браузерного Java–плагина. Так как одна из уязвимостей уже активно эксплуатируются в Сети для распространения вредоносного ПО, пользователям Java–плагина рекомендуется не откладывать установку обновления.

Интересно, что о наличии указанной уязвимости компании Oracle было известно 1 февраля, но исправление не было включено в февральские обновления с устранением проблем безопасности, что в итоге сказалось в появлении эксплоитов для ещё не исправленной проблемы.