Một công ty chống Virus vừa cho biết , chỉ năm ngày sau khi một nhà nghiên cứu Google công bố thông tin về một lỗi Java chưa được vá, một trang cung cấp lời bài hát bị xâm nhập chuyển người dùng đến một máy chủ tấn công của Nga, khai thác lỗ hổng này để cài đặt phần mềm độc hại.

Thứ Sáu tuần trước, Tavis Ormandy của Google đăng chi tiết về lỗ hổng Java tại Full Disclosure, chỉ ra cách kẻ tấn công có thể chạy chương trình Java trái phép trên máy của nạn nhân bằng cách sử dụng một tính năng được thiết kế để cho phép các nhà phát triển phân phối phần mềm của họ. Theo Ormandy, tất cả các phiên bản của Java cho Windows kể từ khi cập nhật 6 SE 10 - được ra mắt cách đây hai năm –đều dễ bị tổn thương. Các hệ điều hành khác đang chạy Java không bị ảnh hưởng, ông nói.

Roger Thompson, giám đốc nghiên cứu tại AVG Technologies, cho biết Songlyrics.com đã vô tình chuyển hướng người dùng đến một máy chủ tấn công của Nga khai thác lỗi mà Ormandy phát hiện .

Songlyrics.com bao gồm một IFRAME chuyển hướng khách truy cập vào các trang web tiếng Nga, nơi mà người dùng đang bị tấn công từ lỗi do Ormandy công bố và kèm theo một bộ công cụ khai thác quy mô lớn hơn. Ông Thompson nói "Thông thường, chúng tấn công cùng một lúc những lỗ hổng và xem cái nào có thể khai thác được", nói về cuộc tấn công nhiều giai đoạn bao gồm những khai thác liên quan tới Java.

Thompson cho biết , Songlyrics.com, cung cấp lời nhạc cho bài hát được yêu thích của Lady Gaga, Rihanna, Usher và Miley Cyrus, dường như đã bị tin tặc lợi dụng , có ai đó thêm IFRAME để định hướng lại . E-mail của người quản lý của trang web chưa có thông báo gì .

Người dùng Windows đang chạy Microsoft Internet Explorer (IE) và Firefox của Mozilla bị nguy hiểm nếu họ có các trình duyệt Java được cài đặt plug-in. "Trình duyệt Chrome có vẻ an toàn, nhưng điều đó là không được bảo đảm", Thompson cho biết.

Việc tin tặc nhanh chóng tận dụng những lỗi Java đã không làm cho ông bất ngờ. "Những mã lệnh liên quan thực ra rất đơn giản, và điều đó làm cho chúng dễ dàng bị sao chép, do đó không đáng ngạc nhiên khi chỉ năm ngày sau đó, chúng tôi đã phát hiện ra mã đó", Thompson cho biết, đề cập đến mã tấn công mà Ormandy công bố trên danh sách gửi thư. Ông cũng chỉ ra rằng những người khác sẽ nhanh chóng tiếp bước. "Nó quá dễ sử dụng và sao chép nên tôi mong đợi rằng nó sẽ được bao gồm trong bộ [khai thác công cụ] trong một vài ngày tới."

Mặc dù Ormandy đã báo cáo lỗi này đến Sun - nay thuộc sở hữu của Oracle - ông cho biết công ty đã từ chối việc vội vàng cho ra một bản vá. "Họ thông báo với tôi họ không xem lỗi này như là ưu tiên đủ cao để phá vỡ chu kỳ vá lỗi hàng quý của họ", Ormandy đã viết trên danh sách gửi thư. "Tôi giải thích [với họ] là tôi không đồng ý, và dự định đưa ra những tư vấn để tạm thời vô hiệu hóa việc kiểm soát bị ảnh hưởng cho đến khi có một giải pháp nào đó."

Oracle đã vá Java hồi tuần trước; cập nhật thường xuyên theo lịch trình tiếp theo của nó được dự kiến là tháng bảy.

Oracle đã không trả lời yêu cầu tìm kiếm các nhận xét về lỗi này, hoặc trả lời các câu hỏi về kế hoạch vá của nó khi khai thác của Ormandy đang được sử dụng bởi tin tặc.
Thompson cá rằng "Lỗi này sẽ sớm có mặt khắp mọi nơi, vì vậy Sun sẽ sớm phải ra một bản  vá ngọai lệ."

Cho đến khi Oracle sửa chữa được vấn đề này, hoặc nếu từ chối chỉ ra các lỗ hổng, người dùng có thể tự bảo vệ mình bằng cách áp dụng cách giải quyết các trình duyệt IE và Firefox được cung cấp bởi Ormandy tuần trước trên Full Disclosure. Trung tâm Internet Storm của Viện SANS đã cho đăng tải lại cách giải quyết của Ormandy.