Уязвимость в компоненте JavaFX в Oracle Java SE, позволяющая повлиять на конфиденциальность, целостность и доступность через неопределенные векторы
Описание
Существует неуточнённая уязвимость в компоненте JavaFX в Oracle Java SE, версии JavaFX 2.2.4 и ранее. Эта уязвимость позволяет злоумышленникам влиять на конфиденциальность, целостность и доступность данных через неопределенные векторы. Данная уязвимость является другой, чем перечисленные в февральском обновлении безопасности 2013 года. Согласно утверждениям сторонних источников, данная уязвимость также позволяет злоумышленникам выполнять произвольный код через "некорректное приведение типа" в методе init класса D3DShader в пакете com.sun.prism.d3d.
Затронутые версии ПО
- Oracle Java SE JavaFX 2.2.4 и все более ранние версии.
Тип уязвимости
- Удалённое выполнение кода
- Компрометация конфиденциальности, целостности и доступности данных
Дополнительная информация
Эта уязвимость может быть использована только через ненадежные Java Web Start приложения и ненадежные Java апплеты. Ненадежные Java Web Start приложения и апплеты работают в Java-песочнице с ограниченными привилегиями. Подробнее: http://www.oracle.com/technetwork/topics/security/javacpufeb2013-1841061.html
Ссылки
- US Government Resource
- Vendor Advisory
- US Government Resource
- US Government Resource
- Vendor Advisory
- US Government Resource
Уязвимые конфигурации
Одно из
EPSS
10 Critical
CVSS2
Дефекты
Связанные уязвимости
Unspecified vulnerability in the JavaFX component in Oracle Java SE JavaFX 2.2.4 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors, a different vulnerability than other CVEs listed in the February 2013 CPU. NOTE: the previous information is from the February 2013 CPU. Oracle has not commented on claims from a third party that this issue allows remote attackers to execute arbitrary code via an "invalid type case" in the init method of the D3DShader class in the com.sun.prism.d3d package. CPU.
Unspecified vulnerability in the JavaFX component in Oracle Java SE Ja ...
Unspecified vulnerability in the JavaFX component in Oracle Java SE JavaFX 2.2.4 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors, a different vulnerability than other CVEs listed in the February 2013 CPU. NOTE: the previous information is from the February 2013 CPU. Oracle has not commented on claims from a third party that this issue allows remote attackers to execute arbitrary code via an "invalid type case" in the init method of the D3DShader class in the com.sun.prism.d3d package. CPU.
EPSS
10 Critical
CVSS2