Aquí lo que comentó Facebook al respecto:

Este ataque se produjo cuando un puñado de empleados visitó un sitio web de desarrolladores móviles que se ha visto comprometido. El sitio web comprometido organizó una hazaña que dejó de software malicioso para ser instalado en las computadoras portátiles de los empleados. Las computadoras portátiles fueron totalmente parchadas y están corriendo al día el antivirus. Tan pronto como descubrimos la presencia del malware, hemos dado remedio a todas las máquinas infectadas, la policía fue informada y comenzó una investigación significativa que continúa hasta nuestros días.

Facebook Security cuenta con un equipo dedicado a rastrear y monitorear las amenazas a nuestra infraestructura de ataques en todo momento. En este caso particular, nos marcan un dominio sospechosos en nuestros registros corporativos DNS y seguir de nuevo a un ordenador portátil personal. Tras la realización de un examen forense de que la computadora portátil, hemos identificado un archivo malicioso, y entonces buscó en toda la compañía y otros portátiles de empleados comprometidos.

Después de analizar el sitio web comprometido donde se originó el ataque, nos pareció que estaba usando un 0day (inédito) para eludir la sandbox de Java (incorporado protecciones) para instalar el malware. De inmediato se informó del exploit a Oracle y nos confirmaron nuestras conclusiones además de un parche el 1 de febrero de 2013, que corrige esta vulnerabilidad.

Corregida o no el mal ya está hecho y que bueno que reconocieron el ataque y lo hicieron publico así un usuario común puede tomar sus precauciones con Java; por cierto si quieres desactivar por completo java en el navegador simplemente entra al Panel de Control y selecciona Java después en la pestaña Seguridad destilda Active el contenido Java en el explorador presionar Aplicar y Aceptar con esto quedas protegido momentaneamente hasta que por parte de Oracle revisen por completo la seguridad de Java.

Fuente: wsj