2019-2102: Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes mit Benutzerrechten

Historie:

Version 1 (2019-10-09 13:51): Neues Advisory

Betroffene Software

Middleware
Netzwerk
Office
Server

Betroffene Plattformen

Apple
Microsoft

Beschreibung:

Zwei Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes mit den Rechten des aktiven Benutzers. Falls der Benutzer mit Administratorrechten ausgestattet ist, kann der Angreifer das System durch die erfolgreiche Ausnutzung der Schwachstellen vollständig unter seine Kontrolle bringen. Mehrere weitere Schwachstellen ermöglichen die Darstellung falscher Informationen, die Eskalation von Privilegien und einen Cross-Site-Scripting (XSS)-Angriff.

Der Hersteller informiert darüber, dass die Schwachstellen weder öffentlich bekannt sind, noch aktiv ausgenutzt werden oder bereits durch die Voransicht ausgenutzt werden können. Dennoch wird der Schweregrad der Schwachstellen als 'wichtig' eingestuft.

Microsoft adressiert diese Schwachstellen im Rahmen des Microsoft Oktober 2019 Patchtages. Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden.

Schwachstellen:

CVE-2019-1070

Schwachstelle in Microsoft SharePoint ermöglicht Cross-Site-Scripting-Angriff

CVE-2019-1327

Schwachstelle in Microsoft Excel ermöglicht Ausführen beliebigen Programmcodes mit Benutzerrechten

CVE-2019-1328

Schwachstelle in Microsoft SharePoint ermöglicht Darstellung falscher Informationen

CVE-2019-1329

Schwachstelle in Microsoft SharePoint ermöglicht Privilegieneskalation

CVE-2019-1330