2020-1228: Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2020-06-10 18:53)

Neues Advisory

Betroffene Software

Middleware
Netzwerk
Office

Betroffene Plattformen

Apple
Microsoft

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten Angreifer mit üblichen Benutzerrechten verschiedene Cross-Site-Scripting (XSS)-Angriffe, die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten des Dienstes und das Umgehen von Sicherheitsvorkehrungen. Ein entfernter Angreifer kann eine weitere Schwachstelle ohne besondere Privilegien ausnutzen, um falsche Informationen darzustellen und einen Phishing-Angriff durchzuführen. Weitere Schwachstellen ermöglichen einem Angreifer das Ausführen beliebigen Programmcodes und dadurch die vollständige Kompromittierung betroffener Systeme, wenn ein Benutzer der Software dazu verleitet werden kann, ein speziell präpariertes Office-Dokument lokal zu öffnen. Ein lokaler Angreifer kann darüber hinaus Informationen aus dem Speicher ausspähen.

Der Hersteller informiert darüber, dass die Schwachstellen weder öffentlich bekannt sind, noch aktiv ausgenutzt werden. Die Schwachstelle CVE-2020-1181 in Microsoft SharePoint wird als kritisch ('critical') eingestuft.

Microsoft adressiert diese Schwachstellen im Rahmen des Patchtags im Juni 2020. Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden.

Schwachstellen:

CVE-2020-1148 CVE-2020-1289

Schwachstellen in Microsoft SharePoint ermöglichen Cross-Site-Scripting-Angriff

CVE-2020-1177 CVE-2020-1183

Schwachstellen in Microsoft SharePoint ermöglichen Cross-Site-Scripting-Angriffe

CVE-2020-1178

Schwachstelle in Microsoft SharePoint ermöglicht Privilegieneskalation

CVE-2020-1181

Schwachstelle in Microsoft SharePoint ermöglicht Ausführen beliebigen Programmcodes mit Rechten des Dienstes

CVE-2020-1225 CVE-2020-1226

Schwachstellen in Microsoft Excel ermöglichen Ausführung beliebigen Programmcodes

CVE-2020-1229

Schwachstelle in Microsoft Outlook ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-1295

Schwachstelle in Microsoft SharePoint ermöglicht Privilegieneskalation

CVE-2020-1297 CVE-2020-1298 CVE-2020-1318 CVE-2020-1320

Schwachstellen in Microsoft SharePoint ermöglichen Cross-Site-Scripting-Angriff

CVE-2020-1321

Schwachstelle in Microsoft Office ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-1322

Schwachstelle in Microsoft Project ermöglicht Ausspähen von Informationen

CVE-2020-1323

Schwachstelle in Microsoft SharePoint ermöglicht Darstellung falscher Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.