2021-1928: Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-09-15 13:20)

Neues Advisory

Betroffene Software

Middleware
Netzwerk
Office

Betroffene Plattformen

Apple
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um falsche Informationen darzustellen und Informationen auszuspähen. Die erfolgreiche Ausnutzung dieser Schwachstellen kann Einfluss auf andere Komponenten haben. Mehrere weitere Schwachstellen können von einem Angreifer lokal ausgenutzt werden, um beliebigen Programmcode auszuführen, und eine Schwachstelle, um Informationen auszuspähen. Alle Schwachstellen bis auf die zuletzt genannte erfordern für eine erfolgreiche Ausnutzung die Interaktion eines Benutzers. Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Microsoft informiert darüber, dass keine der Schwachstellen öffentlich bekannt ist, hat keine Information über bereits stattfindende Angriffe und stuft die Ausnutzung der Schwachstellen als wenig wahrscheinlich ein.

Im Rahmen des Patchtages im September 2021 veröffentlicht Microsoft Sicherheitsupdates für Microsoft 365 Apps for Enterprise, Excel, Office, Office Online Server, Office Web Apps Server, Sharepoint Foundation und Sharepoint Server auf Windows Betriebssystemen. Zwei Schwachstellen sind für Microsoft Office 2019 für MacOS relevant und werden entsprechend adressiert.

Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden.

Schwachstellen:

CVE-2021-38646

Schwachstelle in Microsoft Office Access Connectivity Engine ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-38650

Schwachstelle in Microsoft 365 Apps for Enterprise und Microsoft Office ermöglicht u. a. Darstellen falscher Informationen

CVE-2021-38651 CVE-2021-38652

Schwachstellen in Microsoft Sharepoint ermöglichen u. a. Darstellen falscher Informationen

CVE-2021-38653 CVE-2021-38654

Schwachstellen in Microsoft Office Visio ermöglichen Ausführen beliebigen Programmcodes

CVE-2021-38655

Schwachstelle in Microsoft Excel ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-38656

Schwachstelle in Microsoft Word ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-38657

Schwachstelle in Microsoft Office Graphics-Komponente ermöglicht Ausspähen von Informationen

CVE-2021-38658 CVE-2021-38660

Schwachstellen in Microsoft Office Graphics-Komponente ermöglichen Ausführen beliebigen Programmcodes

CVE-2021-38659

Schwachstelle in Microsoft Office for Enterprise ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.