Уязвимость в компоненте JavaFX Oracle Java SE, позволяющая удалённо воздействовать на конфиденциальность, целостность и доступность через неопределенные векторы
Описание
Неопределённая уязвимость в компоненте JavaFX в Oracle Java SE до версии JavaFX 2.2.4 включительно позволяет удалённым злоумышленникам воздействовать на конфиденциальность, целостность и доступность через неопределенные векторы. Это отличается от других уязвимостей, указанных в февральском релизе обновления безопасности 2013 года. Хотя Oracle пока не прокомментировала утверждения сторонних компаний, сообщается, что эта уязвимость позволяет удалённым злоумышленникам выполнять произвольный код через векторы, связанные с "некорректным приведением типа" и использованными нативными методами в классе T2KGlyph.
Затронутые версии ПО
- Oracle Java SE JavaFX 2.2.4 и более ранние
Тип уязвимости
- Удалённое выполнение кода
- Влияние на конфиденциальность, целостность, доступность
Дополнительная информация
Эта уязвимость применима только к клиентскому развертыванию Java. Её можно эксплуатировать только через ненадежные приложения Java Web Start и ненадежные апплеты Java. Такие приложения и апплеты запускаются в песочнице Java с ограниченными привилегиями.
Ссылки
- US Government Resource
- Vendor Advisory
- US Government Resource
- US Government Resource
- Vendor Advisory
- US Government Resource
Уязвимые конфигурации
Одно из
EPSS
9.3 Critical
CVSS2
Дефекты
Связанные уязвимости
Unspecified vulnerability in the JavaFX component in Oracle Java SE JavaFX 2.2.4 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors, a different vulnerability than other CVEs listed in the February 2013 CPU. NOTE: the previous information is from the February 2013 CPU. Oracle has not commented on claims from a third party that the issue allows remote attackers to execute arbitrary code via vectors related to an "invalid type cast" and exposed native methods in the T2KGlyph class.
Unspecified vulnerability in the JavaFX component in Oracle Java SE Ja ...
Unspecified vulnerability in the JavaFX component in Oracle Java SE JavaFX 2.2.4 and earlier allows remote attackers to affect confidentiality, integrity, and availability via unknown vectors, a different vulnerability than other CVEs listed in the February 2013 CPU. NOTE: the previous information is from the February 2013 CPU. Oracle has not commented on claims from a third party that the issue allows remote attackers to execute arbitrary code via vectors related to an "invalid type cast" and exposed native methods in the T2KGlyph class.
EPSS
9.3 Critical
CVSS2