Возможность компрометации конфиденциальности, целостности и доступности через уязвимость в компоненте JavaFX Oracle Java SE
Описание
В JavaFX компоненте Oracle Java SE, версия JavaFX 2.2.4 и более ранние, обнаружена уязвимость, которая позволяет злоумышленникам повлиять на конфиденциальность, целостность и доступность данных через неопределенные векторы. Эта уязвимость отличается от других уязвимостей, указанных в накопительном обновлении от февраля 2013 года. Согласно непроверенной информации от третьих лиц, проблема может быть связана с некорректным преобразованием типов в классе JSObject.
Эта уязвимость распространяется только на клиентское развертывание Java и может быть использована через недоверенные приложения Java Web Start и недоверенные апплеты Java. Такие приложения выполняются в песочнице Java с ограниченными привилегиями.
Затронутые версии ПО
- Oracle Java SE JavaFX 2.2.4 и более ранние версии
Тип уязвимости
- Нарушение конфиденциальности данных
- Нарушение целостности данных
- Нарушение доступности данных
Ссылки
- US Government Resource
- Vendor Advisory
- US Government Resource
- US Government Resource
- Vendor Advisory
- US Government Resource
Уязвимые конфигурации
Одно из
EPSS
7.6 High
CVSS2
Дефекты
Связанные уязвимости
Unspecified vulnerability in the JavaFX component in Oracle Java SE JavaFX 2.2.4 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors, a different vulnerability than other CVEs listed in the February 2013 CPU. NOTE: the previous information is from the February 2013 CPU. Oracle has not commented on claims from a third party that the issue is due to an invalid type cast in the JSObject class.
Unspecified vulnerability in the JavaFX component in Oracle Java SE Ja ...
Unspecified vulnerability in the JavaFX component in Oracle Java SE JavaFX 2.2.4 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors, a different vulnerability than other CVEs listed in the February 2013 CPU. NOTE: the previous information is from the February 2013 CPU. Oracle has not commented on claims from a third party that the issue is due to an invalid type cast in the JSObject class.
EPSS
7.6 High
CVSS2