CVE-2013-1493

Exp

The color management (CMM) functionality in the 2D component in Oracle Java SE 7 Update 15 and earlier, 6 Update 41 and earlier, and 5.0 Update 40 and earlier allows remote attackers to execute arbitrary code or cause a denial of service (crash) via an image with crafted raster parameters, which triggers (1) an out-of-bounds read or (2) memory corruption in the JVM, as exploited in the wild in February 2013.

公開: 2013-03-05 最終更新: 2026-06-16 Assigner: [email protected] ソース: [email protected]

総合評価: CVE-2013-1493 は悪用リスクが高い(84.9/100)。CVSS 深刻度は重大。悪用される可能性が高い(EPSS 85.88%、100 パーセンタイル) 根拠: 公開エクスプロイトが 1 件参照されています(Exploit-DB)。 推奨対応: 公開エクスプロイトが確認されています。影響範囲の確認、緩和策の適用、パッチ適用を優先してください。

リスクは変動します。再評価に基づき、本ページの表示内容を更新しています。

CVE-2013-1493 に関する公開 exploit 参照(Exploit-DB)

EDB-ID ソース 種別 公開 リンク
24904 exploit_db edb 2013-03-29 Exploit-DB ↗

CVE-2013-1493 の EPSS(Exploit Prediction Scoring System)スコア

EPSS は日次で悪用されやすさの相対度合いを推定します。パーセンタイルは採点済み CVE の中での相対位置(高いほど相対的に深刻)を示します。

# 日付 旧 EPSS スコア 新 EPSS スコア Δ(新 − 旧)
1 2026-06-15 91.61% 85.88% -5.73%
2 2026-05-25 91.31% 91.61% +0.30%
3 2026-05-11 91.31%

EPSS の全履歴 (全 29 件)

CVE-2013-1493 の CVSS(Common Vulnerability Scoring System)指標

この CVE の CVSS 指標。

ベーススコア バージョン 深刻度 ベクトル 悪用しやすさ 影響 スコアの出典
10.0 2.0 HIGH
AV:N/AC:L/Au:N/C:C/I:C/A:C クリックして展開
アクセス経路 (AV:N)
ルーティング可能なネットワーク越しに、遠隔から到達・悪用しうる。
アクセスの複雑さ (AC:L)
手順が短く、再現性が高い。
認証 (AU:N)
認証を経ずに攻撃を完結できる。
機密性への影響 (C:C)
機密性は全面的に損なわれる。
完全性への影響 (I:C)
完全性は全面的に損なわれる。
可用性への影響 (A:C)
可用性は全面的に損なわれる。
10.0 10.0 [email protected]

CVE-2013-1493 の弱点分類(列挙)

CVE-2013-1493 の OS トラッカー

vendor priority summary link
gentoo high CVE-2013-1493: 2 GLSA(s) (201401-30, 201406-32), 6 atom(s) (app-emulation/emul-linux-x86-java, dev-java/icedtea-bin, dev-java/oracle-jdk-bin, dev-java/oracle-jre-bin, dev-java/sun-jdk, dev-java/sun-jre-bin); latest impact high. https://bugs.gentoo.org/buglist.cgi?quicksearch=CVE-2013-1493
redhat critical https://access.redhat.com/security/cve/CVE-2013-1493
ubuntu high CVE-2013-1493 high priority: Ubuntu including 3 source packages (openjdk-6, openjdk-6b18, openjdk-7), 18 status rows across 6 suites (hardy, lucid, oneiric, precise, quantal, upstream): released 8, DNE 5, ignored 2, pending 2, needs-triage 1. https://ubuntu.com/security/CVE-2013-1493

CVE-2013-1493 の影響を受けるソフトウェア/構成

ベンダー 製品 バージョン 生の CPE
oracle jre <= 1.7.0 cpe:2.3:a:oracle:jre:*:update15:*:*:*:*:*:*
oracle jre 1.7.0 cpe:2.3:a:oracle:jre:1.7.0:*:*:*:*:*:*:*
oracle jre 1.7.0 cpe:2.3:a:oracle:jre:1.7.0:update1:*:*:*:*:*:*
oracle jre 1.7.0 cpe:2.3:a:oracle:jre:1.7.0:update10:*:*:*:*:*:*
oracle jre 1.7.0 cpe:2.3:a:oracle:jre:1.7.0:update11:*:*:*:*:*:*
oracle jre 1.7.0 cpe:2.3:a:oracle:jre:1.7.0:update13:*:*:*:*:*:*
oracle jre 1.7.0 cpe:2.3:a:oracle:jre:1.7.0:update2:*:*:*:*:*:*
oracle jre 1.7.0 cpe:2.3:a:oracle:jre:1.7.0:update3:*:*:*:*:*:*
oracle jre 1.7.0 cpe:2.3:a:oracle:jre:1.7.0:update4:*:*:*:*:*:*
oracle jre 1.7.0 cpe:2.3:a:oracle:jre:1.7.0:update5:*:*:*:*:*:*
oracle jre 1.7.0 cpe:2.3:a:oracle:jre:1.7.0:update6:*:*:*:*:*:*
oracle jre 1.7.0 cpe:2.3:a:oracle:jre:1.7.0:update7:*:*:*:*:*:*
oracle jre 1.7.0 cpe:2.3:a:oracle:jre:1.7.0:update9:*:*:*:*:*:*
oracle jre <= 1.5.0 cpe:2.3:a:oracle:jre:*:update40:*:*:*:*:*:*
oracle jre 1.5.0 cpe:2.3:a:oracle:jre:1.5.0:update36:*:*:*:*:*:*
oracle jre 1.5.0 cpe:2.3:a:oracle:jre:1.5.0:update38:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:*:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update1:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update10:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update11:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update12:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update13:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update14:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update15:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update16:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update17:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update18:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update19:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update2:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update20:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update21:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update22:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update23:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update24:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update25:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update26:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update27:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update28:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update29:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update3:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update31:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update33:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update4:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update5:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update6:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update7:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update8:*:*:*:*:*:*
sun jre 1.5.0 cpe:2.3:a:sun:jre:1.5.0:update9:*:*:*:*:*:*
oracle jdk <= 1.6.0 cpe:2.3:a:oracle:jdk:*:update41:*:*:*:*:*:*
oracle jdk 1.6.0 cpe:2.3:a:oracle:jdk:1.6.0:update22:*:*:*:*:*:*
oracle jdk 1.6.0 cpe:2.3:a:oracle:jdk:1.6.0:update23:*:*:*:*:*:*
oracle jdk 1.6.0 cpe:2.3:a:oracle:jdk:1.6.0:update24:*:*:*:*:*:*
oracle jdk 1.6.0 cpe:2.3:a:oracle:jdk:1.6.0:update25:*:*:*:*:*:*
oracle jdk 1.6.0 cpe:2.3:a:oracle:jdk:1.6.0:update26:*:*:*:*:*:*
oracle jdk 1.6.0 cpe:2.3:a:oracle:jdk:1.6.0:update27:*:*:*:*:*:*
oracle jdk 1.6.0 cpe:2.3:a:oracle:jdk:1.6.0:update29:*:*:*:*:*:*
oracle jdk 1.6.0 cpe:2.3:a:oracle:jdk:1.6.0:update30:*:*:*:*:*:*
oracle jdk 1.6.0 cpe:2.3:a:oracle:jdk:1.6.0:update31:*:*:*:*:*:*
oracle jdk 1.6.0 cpe:2.3:a:oracle:jdk:1.6.0:update32:*:*:*:*:*:*
oracle jdk 1.6.0 cpe:2.3:a:oracle:jdk:1.6.0:update33:*:*:*:*:*:*
oracle jdk 1.6.0 cpe:2.3:a:oracle:jdk:1.6.0:update34:*:*:*:*:*:*
oracle jdk 1.6.0 cpe:2.3:a:oracle:jdk:1.6.0:update35:*:*:*:*:*:*
oracle jdk 1.6.0 cpe:2.3:a:oracle:jdk:1.6.0:update37:*:*:*:*:*:*
oracle jdk 1.6.0 cpe:2.3:a:oracle:jdk:1.6.0:update38:*:*:*:*:*:*
oracle jdk 1.6.0 cpe:2.3:a:oracle:jdk:1.6.0:update39:*:*:*:*:*:*
sun jdk 1.6.0 cpe:2.3:a:sun:jdk:1.6.0:*:*:*:*:*:*:*
sun jdk 1.6.0 cpe:2.3:a:sun:jdk:1.6.0:update_10:*:*:*:*:*:*
sun jdk 1.6.0 cpe:2.3:a:sun:jdk:1.6.0:update_11:*:*:*:*:*:*
sun jdk 1.6.0 cpe:2.3:a:sun:jdk:1.6.0:update_12:*:*:*:*:*:*
sun jdk 1.6.0 cpe:2.3:a:sun:jdk:1.6.0:update_13:*:*:*:*:*:*
sun jdk 1.6.0 cpe:2.3:a:sun:jdk:1.6.0:update_14:*:*:*:*:*:*
sun jdk 1.6.0 cpe:2.3:a:sun:jdk:1.6.0:update_15:*:*:*:*:*:*
sun jdk 1.6.0 cpe:2.3:a:sun:jdk:1.6.0:update_16:*:*:*:*:*:*
sun jdk 1.6.0 cpe:2.3:a:sun:jdk:1.6.0:update_17:*:*:*:*:*:*
sun jdk 1.6.0 cpe:2.3:a:sun:jdk:1.6.0:update_18:*:*:*:*:*:*
sun jdk 1.6.0 cpe:2.3:a:sun:jdk:1.6.0:update_19:*:*:*:*:*:*
sun jdk 1.6.0 cpe:2.3:a:sun:jdk:1.6.0:update_20:*:*:*:*:*:*
sun jdk 1.6.0 cpe:2.3:a:sun:jdk:1.6.0:update_21:*:*:*:*:*:*
sun jdk 1.6.0 cpe:2.3:a:sun:jdk:1.6.0:update_3:*:*:*:*:*:*
sun jdk 1.6.0 cpe:2.3:a:sun:jdk:1.6.0:update_4:*:*:*:*:*:*

CVE-2013-1493 の参考情報

URL タグ
http://blog.fireeye.com/research/2013/02/yaj0-yet-another-java-zero-day-2.html
http://h20565.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c04117626-1
http://lists.opensuse.org/opensuse-security-announce/2013-03/msg00009.html
http://lists.opensuse.org/opensuse-security-announce/2013-03/msg00011.html
http://lists.opensuse.org/opensuse-security-announce/2013-03/msg00012.html
http://lists.opensuse.org/opensuse-security-announce/2013-04/msg00020.html
http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2013-March/022145.html
http://marc.info/?l=bugtraq&m=136439120408139&w=2
http://marc.info/?l=bugtraq&m=136570436423916&w=2
http://rhn.redhat.com/errata/RHSA-2013-0601.html
http://rhn.redhat.com/errata/RHSA-2013-0603.html
http://rhn.redhat.com/errata/RHSA-2013-0604.html
http://rhn.redhat.com/errata/RHSA-2013-1455.html
http://rhn.redhat.com/errata/RHSA-2013-1456.html
http://security.gentoo.org/glsa/glsa-201406-32.xml
http://www.exploit-db.com/exploits/24904
http://www.kb.cert.org/vuls/id/688246 US Government Resource
http://www.mandriva.com/security/advisories?name=MDVSA-2013:095
http://www.oracle.com/ocom/groups/public/%40otn/documents/webcontent/1915099.xml
http://www.oracle.com/technetwork/topics/security/alert-cve-2013-1493-1915081.html
http://www.securityfocus.com/bid/58238
http://www.securitytracker.com/id/1029803
http://www.symantec.com/connect/blogs/latest-java-zero-day-shares-connections-bit9-security-incident
http://www.ubuntu.com/usn/USN-1755-2
http://www.us-cert.gov/ncas/alerts/TA13-064A US Government Resource
https://bugzilla.redhat.com/show_bug.cgi?id=917553
https://krebsonsecurity.com/2013/03/new-java-0-day-attack-echoes-bit9-breach/
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A19246
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A19477
https://twitter.com/jduck1337/status/307629902574800897
https://wiki.mageia.org/en/Support/Advisories/MGASA-2013-0088
cvelogic Threat Intelligence