2018-2331: Microsoft Entwicklungswerkzeuge: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2018-11-14 13:29)
- Neues Advisory
- Version 2 (2019-01-16 14:10)
- Microsoft informiert in einer Aktualisierung des Sicherheitshinweises zur Schwachstelle CVE-2018-8416 darüber, dass diese auch PowerShell Core 6.1 und 6.2 betrifft.
Betroffene Software
Entwicklung
Server
Systemsoftware
Betroffene Plattformen
Microsoft
Beschreibung:
Eine Schwachstelle in PowerShell ermöglicht einem entfernten, einfach authentisierten Angreifer beliebigen Programmcode zur Ausführung zu bringen. Eine weitere Schwachstelle erlaubt einem lokalen, einfach authentisierten Angreifer, Protokollfunktion zu umgehen und damit letztlich Informationen zu manipulieren.
Eine Schwachstelle im .NET Framework ermöglicht einem entfernten, nicht authentisierten Angreifer Dateien oder Verzeichnisse auf einem betroffenen System zu erstellen.
Eine Schwachstelle im Team Foundation Server ermöglicht einem entfernten, einfach authentisierten Angreifer die Durchführung eines Cross-Site-Scripting (XSS)-Angriffs. Und eine weitere Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer beliebige Befehle im Suchdienst auszuführen.
Es stehen Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Diese können im Microsoft Security Update Guide über die Kategorie 'Development Tools' identifiziert werden. Weitere dort aufgeführte Schwachstellen in anderen Produkten (ChakraCore) werden in eigenen Sicherheitshinweisen behandelt.
Schwachstellen:
CVE-2018-8256
Schwachstelle in PowerShell ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-8415
Schwachstelle in PowerShell ermöglicht Manipulation von InformationenCVE-2018-8416
Schwachstelle in Microsoft .NET Core ermöglicht Manipulation von DatenCVE-2018-8529
Schwachstelle in Team Foundation Server ermöglicht Ausführung beliebigen ProgrammcodesCVE-2018-8602
Schwachstelle in Team Foundation Server ermöglicht Cross-Site-Scripting-Angriff
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.