2018-1350: Microsoft Entwicklungswerkzeuge: Mehrere Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-07-11 20:04)
- Neues Advisory
- Version 2 (2018-07-12 13:39)
- Microsoft informiert über aktualisierte Links zu GitHub Open Source Code und Release Notes (siehe unter den Referenzen zu den betreffenden Schwachstellen).
- Version 3 (2018-07-17 11:50)
- Microsoft informiert darüber, dass von CVE-2018-8319 nur die MSR JavaScript Cryptography Library in Version 1.4 betroffen ist und stellt Version 1.4.1 als Sicherheitsupdate zur Verfügung. Falls die NIST P-521-Curve eingesetzt wurde, sollten mit dieser Kurve erstellte Zertifikate zurückgezogen und ersetzt werden und mit diesen Zertifikaten signierte Daten ungültig gemacht werden. Diese Informationen stehen in der englischsprachigen Version der Schwachstellenbeschreibung von Microsoft zur Verfügung.
- Version 4 (2018-08-01 11:28)
- Microsoft weist darauf hin, dass Expression Blend 3 Service Pack 1 und Expression Blend 2 Service Pack 2 ebenfalls von der Schwachstelle CVE-2018-8172 betroffen sind. Das Update gilt auch für diese Versionen und sollte hierfür ebenfalls eingespielt werden.
Betroffene Software
Entwicklung
Sicherheit
Systemsoftware
Betroffene Plattformen
Microsoft
Beschreibung:
Mehrere Schwachstellen in Microsoft Microsoft Visual Studio, Expression Blend 4 SP 3, in der Microsoft Research JavaScript Cryptography Library, in angepassten Active Directory Federation Services, in PowerShell Editor Services und der PowerShell Extension for Visual Studio Code ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes, die Manipulation von Dateien, das Umgehen von Sicherheitsvorkehrungen und einen Cross-Site-Scripting (XSS)-Angriff.
Es stehen Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Diese können im Microsoft Security Update Guide über die Kategorie 'Development Tools' identifiziert werden. Weitere dort aufgeführte Schwachstellen in anderen Produkten (ASP.NET, .NET, ChakraCore) wurden in eigenen Sicherheitshinweisen behandelt.
Schwachstellen:
CVE-2018-8172
Schwachstelle in Microsoft Visual Studio ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-8232
Schwachstelle in Microsoft Macro Assembler ermöglicht Manipulation von DateienCVE-2018-8319
Schwachstelle in Microsoft Research JavaScript Cryptography Library ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2018-8326
Schwachstelle in angepassten Active Directory Federation Services ermöglicht Cross-Site-Scripting-AngriffCVE-2018-8327
Schwachstelle in Microsoft PowerShell ermöglicht Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.