DFN-CERT

Advisory-Archiv

2020-2234: Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-10-14 19:32)
Neues Advisory

Betroffene Software

Middleware
Netzwerk
Office

Betroffene Plattformen

Apple
Microsoft

Beschreibung:

Mehrere Schwachstellen ermöglichen einem entfernten Angreifer, der in einigen Fällen über übliche Benutzerrechte verfügen muss, die Ausführung beliebigen Programmcodes mit Benutzerrechten, verschiedene Cross-Site-Scripting (XSS)-Angriffe und das Ausspähen von Informationen. Einige der Angriffe erfordern die Interaktion eines Benutzers, um erfolgreich zu sein. Ein lokaler Angreifer, der in einigen Fällen über übliche Benutzerrechte verfügen muss, kann beliebigen Programmcode zur Ausführung bringen, seine Privilegien eskalieren, Sicherheitsvorkehrungen umgehen und einen Denial-of-Service (DoS)-Angriff durchführen. Ein erfolgreicher Angriff erfordert in einigen Fällen die Interaktion eines Benutzers und kann auch Einfluss auf andere Komponenten betroffener Systeme haben

Der Hersteller informiert darüber, dass die Schwachstellen weder öffentlich bekannt sind, noch aktiv ausgenutzt werden. Insgesamt drei der Schwachstellen werden als kritisch ('critical') eingestuft. Die Schwachstelle CVE-2020-16947 kann bereits in der Voransicht ausgenutzt werden.

Microsoft adressiert diese Schwachstellen im Rahmen des Microsoft Oktober 2020 Patchtages. Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden.

Schwachstellen:

CVE-2020-16918

Schwachstelle in Base3D ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-16928 CVE-2020-16934 CVE-2020-16955

Mehrere Schwachstellen in Microsoft Office ermöglichen Privilegieneskalation

CVE-2020-16929

Schwachstelle in Microsoft Excel ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-16930 CVE-2020-16931 CVE-2020-16932

Mehrere Schwachstellen in Microsoft Excel ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-16933

Schwachstelle in Microsoft Word ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2020-16941 CVE-2020-16942

Zwei Schwachstellen in Microsoft SharePoint ermöglichen Ausspähen von Informationen

CVE-2020-16944 CVE-2020-16945 CVE-2020-16946

Mehrere Schwachstellen in Microsoft SharePoint ermöglichen Cross-Site-Scripting-Angriff

CVE-2020-16947

Schwachstelle in Microsoft Outlook ermöglicht Ausführen beliebigen Programmcodes mit den Rechten des Benutzers

CVE-2020-16948 CVE-2020-16950 CVE-2020-16953

Mehrere Schwachstellen in Microsoft SharePoint ermöglichen Ausspähen von Informationen

CVE-2020-16949

Schwachstelle in Microsoft Outlook ermöglicht Denial-of-Service-Angriff

CVE-2020-16951 CVE-2020-16952

Zwei Schwachstellen in Microsoft SharePoint ermöglichen Ausführen beliebigen Programmcodes

CVE-2020-16954

Schwachstelle in Microsoft Office ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-16957

Schwachstelle in Microsoft Office ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.