2020-1950: Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes mit den Rechten des Dienstes

Historie:

Version 1 (2020-09-09 18:27)

Neues Advisory

Version 2 (2020-09-17 11:34)

Microsoft informiert über die Verfügbarkeit von Sicherheitsupdates zur Behebung der Schwachstelle CVE-2020-16855 in Microsoft Office for Mac und empfiehlt deren Installation.

Betroffene Software

Middleware
Netzwerk
Office

Betroffene Plattformen

Apple
Microsoft

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten Angreifer mit üblichen Benutzerrechten verschiedene Cross-Site-Scripting (XSS)-Angriffe, die Ausführung beliebigen Programmcodes mit den Rechten des Dienstes und die Manipulation von Dateien. Einige der Angriffe erfordern die Interaktion eines Benutzers, um erfolgreich zu sein, und können Einfluss auf andere Komponenten betroffener Systeme haben. Ein lokaler Angreifer kann beliebigen Programmcodes mit den Rechten des Benutzers zur Ausführung bringen, Informationen ausspähen und seine Privilegien eskalieren. Ein erfolgreicher Angriff erfordert hier in einigen Fällen die Interaktion eines Benutzers.

Der Hersteller informiert darüber, dass die Schwachstellen weder öffentlich bekannt sind, noch aktiv ausgenutzt werden. Insgesamt sieben der Schwachstellen werden als kritisch ('critical') eingestuft.

Microsoft adressiert diese Schwachstellen im Rahmen des Microsoft September 2020 Patchtages. Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden.

Schwachstellen:

CVE-2020-1193 CVE-2020-1332 CVE-2020-1335 CVE-2020-1594

Schwachstellen in Microsoft Excel ermöglichen die Ausführung beliebigen Programmcodes mit Benutzerrechten

CVE-2020-1198 CVE-2020-1345

Schwachstellen in Microsoft SharePoint ermöglichen Cross-Site-Scripting-Angriff

CVE-2020-1200 CVE-2020-1452 CVE-2020-1453 CVE-2020-1460

Schwachstellen in Microsoft Sharepoint ermöglichen das Ausführen beliebigen Programmcodes mit Rechten des Dienstes

CVE-2020-1205

Schwachstelle in Microsoft SharePoint ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-1210

Schwachstelle in Microsoft Sharepoint ermöglicht Ausführen beliebigen Programmcodes mit Rechten des Dienstes

CVE-2020-1218

Schwachstelle in Microsoft Word ermöglicht Ausführung beliebigen Programmcodes mit Benutzerrechten

CVE-2020-1224

Schwachstelle in Microsoft Excel ermöglicht Ausspähen von Informationen

CVE-2020-1227

Schwachstelle in Microsoft SharePoint ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-1338

Schwachstelle in Microsoft Word ermöglicht Ausführung beliebigen Programmcodes mit Benutzerrechten

CVE-2020-1440

Schwachstelle in Microsoft Sharepoint ermöglicht Manipulation von Daten

CVE-2020-1482

Schwachstelle in Microsoft SharePoint ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-1514

Schwachstelle in Microsoft SharePoint ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-1523

Schwachstelle in Microsoft Sharepoint ermöglicht Manipulation von Daten

CVE-2020-1575

Schwachstelle in Microsoft SharePoint ermöglicht Cross-Site-Scripting-Angriff

CVE-2020-1576

Schwachstelle in Microsoft Sharepoint ermöglicht Ausführen beliebigen Programmcodes mit Rechten des Dienstes

CVE-2020-1595

Schwachstelle in Microsoft Sharepoint ermöglicht Ausführen beliebigen Programmcodes mit Rechten des Dienstes

CVE-2020-16851 CVE-2020-16852 CVE-2020-16853

Schwachstellen in Microsoft OneDrive ermöglichen Privilegieneskalation

CVE-2020-16855

Schwachstelle in Microsoft Office für Mac ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.