CVE-2002-1289 (CNNVD-200211-064)

HIGH
中文标题:
Microsoft JVM INativeServices未授权内存访问漏洞
英文标题:
The Microsoft Java implementation, as used in Internet Explorer, allows remote attackers to read res...
CVSS分数: 7.5
发布时间: 2002-11-14 05:00:00
漏洞类型: 授权问题
状态: PUBLISHED
数据质量分数: 0.30
数据版本: v3
漏洞描述
中文描述:

Microsoft JVM是一款使用在Win32操作环境中的Java虚拟机系统,Microsoft JVM包含在大部分Windows版本中,也既包含在大部分Internet Explorer版本中。Microsoft JVM有的时候也可以通过独立下载获得。 Microsoft JVM INativeServices模式对参数检查不充分,远程攻击者可以利用这个漏洞传递非法内存地址而导致拒绝服务,或者信息泄露攻击。 任意applet可以通过调用SystemX.getNativeServices()来获得com.ms.awt.peer.INativeServices实例。此模式也可以间接通过java.lang.reflect.*模式来调用。INativeServices模式接收内存地址作为参数,但没有对这些值进行充分的检查,攻击者如果提交非法内存地址就很容易导致浏览器崩溃。另外,通过模式pGetFontEnumeratedFamily()通过有此漏洞的INativeServices模式可读取系统内存的内容。这就可以导致各种敏感信息泄露,如访问过的WEB站点、COOKIE信息、缓冲目录位置等文件系统信息。也存在执行任意代码的可能。

英文描述:

The Microsoft Java implementation, as used in Internet Explorer, allows remote attackers to read restricted process memory, cause a denial of service (crash), and possibly execute arbitrary code via the getNativeServices function, which creates an instance of the com.ms.awt.peer.INativeServices (INativeServices) class, whose methods do not verify the memory addresses that are passed as parameters.

CWE类型:
(暂无数据)
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
microsoft java_virtual_machine 1.1 - - cpe:2.3:a:microsoft:java_virtual_machine:1.1:*:*:*:*:*:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
20021108 Technical information about unpatched MS Java vulnerabilities mailing-list
cve.org
访问
msvm-inativeservices-memory-access(10582) vdb-entry
cve.org
访问
6140 vdb-entry
cve.org
访问
20021108 Technical information about unpatched MS Java vulnerabilities mailing-list
cve.org
访问
CVSS评分详情
7.5
HIGH
CVSS向量: AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS版本: 2.0
机密性
PARTIAL
完整性
PARTIAL
可用性
PARTIAL
时间信息
发布时间:
2002-11-14 05:00:00
修改时间:
2024-08-08 03:19:28
创建时间:
2025-11-11 15:32:17
更新时间:
2025-11-11 15:48:49
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2002-1289 2025-11-11 15:17:24 2025-11-11 07:32:17
NVD nvd_CVE-2002-1289 2025-11-11 14:50:28 2025-11-11 07:41:03
CNNVD cnnvd_CNNVD-200211-064 2025-11-11 15:08:42 2025-11-11 07:48:49
版本与语言
当前版本: v3
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v3 CNNVD
2025-11-11 15:48:49
vulnerability_type: 未提取 → 授权问题; cnnvd_id: 未提取 → CNNVD-200211-064; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 授权问题
  • cnnvd_id: 未提取 -> CNNVD-200211-064
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2025-11-11 15:41:03
severity: SeverityLevel.MEDIUM → SeverityLevel.HIGH; cvss_score: 未提取 → 7.5; cvss_vector: NOT_EXTRACTED → AV:N/AC:L/Au:N/C:P/I:P/A:P; cvss_version: NOT_EXTRACTED → 2.0; affected_products_count: 0 → 1; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • severity: SeverityLevel.MEDIUM -> SeverityLevel.HIGH
  • cvss_score: 未提取 -> 7.5
  • cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:P/I:P/A:P
  • cvss_version: NOT_EXTRACTED -> 2.0
  • affected_products_count: 0 -> 1
  • data_sources: ['cve'] -> ['cve', 'nvd']