2020-1516: Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes mit Benutzerrechten

Historie:

Version 1 (2020-07-15 20:03)

Neues Advisory

Betroffene Software

Middleware
Netzwerk
Office
Server

Betroffene Plattformen

Apple
Microsoft

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten Angreifer mit üblichen Benutzerrechten verschiedene Cross-Site-Scripting (XSS)-Angriffe, die Eskalation von Privilegien, die Ausführung beliebigen Programmcodes mit den Rechten des Dienstes, das Ausspähen von Informationen und die Darstellung falscher Informationen. Weitere Schwachstellen ermöglichen einem Angreifer die Ausführung beliebigen Programmcodes mit den Rechten des Dienstes oder des Benutzers sowie das Ausspähen von Informationen. Mehrere Angriffe bedürfen der Interaktion eines Benutzers. Dazu gehören beispielsweise das Herunterladen und Öffnen speziell präparierter Dokumente oder E-Mails, der Besuch von Webseiten und die Verarbeitung manipulierter Eingabedaten.

Der Hersteller informiert darüber, dass die Schwachstellen weder öffentlich bekannt sind, noch aktiv ausgenutzt werden. Die Schwachstellen CVE-2020-1025, CVE-2020-1147, CVE-2020-1349 und CVE-2020-1439 werden vom Hersteller als kritisch ('critical') eingestuft. Die Schwachstelle CVE-2020-1349 kann bereits in der Dokumentenvorschau ausgenutzt werden.

Microsoft adressiert diese Schwachstellen im Rahmen des Patchtags im Juli 2020. Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden.

Schwachstellen:

CVE-2020-1025

Schwachstelle in Microsoft Sharepoint Server, Skype for Business Server und Lync Server ermöglicht Privilegieneskalation

CVE-2020-1147

Schwachstelle in Microsoft .NET Framework, .NET Core, Sharepoint Server und Visual Studio ermöglicht Ausführen beliebigen Programmcodes mit Rechten des Dienstes

CVE-2020-1240

Schwachstelle in Microsoft Excel ermöglicht Ausführung beliebigen Programmcodes mit Benutzerrechten

CVE-2020-1342

Schwachstelle in Microsoft Office ermöglicht Ausspähen von Informationen

CVE-2020-1349

Schwachstelle in Microsoft Outlook ermöglicht Ausführung beliebigen Programmcodes mit Benutzerrechten

CVE-2020-1409

Schwachstelle in DirectWrite ermöglicht komplette Systemübernahme

CVE-2020-1439

Schwachstelle in Microsoft SharePoint ermöglicht Ausführen beliebigen Programmcodes mit Rechten des Dienstes

CVE-2020-1442

Schwachstelle in Microsoft Web Apps ermöglicht Cross-Site-Scripting (XSS)-Angriff

CVE-2020-1443

Schwachstelle in Microsoft SharePoint ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-1444

Schwachstelle in Microsoft SharePoint ermöglicht Ausführen beliebigen Programmcodes mit Benutzerrechten

CVE-2020-1445

Schwachstelle in Microsoft Office ermöglicht Ausspähen von Informationen

CVE-2020-1446 CVE-2020-1447 CVE-2020-1448

Schwachstellen in Microsoft Word ermöglichen Ausführung beliebigen Programmcodes mit Benutzerrechten

CVE-2020-1449

Schwachstelle in Microsoft Project ermöglicht die Ausführung beliebigen Programmcodes mit Benutzerrechten

CVE-2020-1450 CVE-2020-1454 CVE-2020-1456

Schwachstellen in Microsoft SharePoint ermöglichen Cross-Site-Scripting-Angriff

CVE-2020-1451

Schwachstelle in Microsoft Office und Microsoft SharePoint ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-1458

Schwachstelle in Microsoft Office ermöglicht Ausführung beliebigen Programmcodes mit Benutzerrechten

CVE-2020-1465

Schwachstelle in Microsoft OneDrive ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.