2021-2130: Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-10-13 16:06)
- Neues Advisory
Betroffene Software
Middleware
Netzwerk
Office
Betroffene Plattformen
Apple
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen in Microsoft SharePoint aus der Ferne ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen und falsche Informationen darzustellen. Mehrere weitere Schwachstellen in Office Visio, Word und Excel ermöglichen es einem Angreifer, lokal Informationen auszuspähen und beliebigen Programmcode auszuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers, wobei die Ausnutzung der Schwachstellen CVE-2021-40486 (Word) schon über die Dateivorschau möglich ist. Die erfolgreiche Ausnutzung der SharePoint-Schwachstellen CVE-2021-40483 und CVE-2021-40484 kann Einfluss auf andere Komponenten haben.
Microsoft adressiert diese Schwachstellen im Rahmen des Patchtags im Oktober 2021 und informiert darüber, dass keine der Schwachstellen öffentlich bekannt ist und dass keine Informationen über bereits stattfindende Angriffe vorliegen. Die baldige Ausnutzung der SharePoint-Schwachstellen CVE-2021-40487 und CVE-2021-41344 wird als wahrscheinlich eingestuft.
Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden.
Schwachstellen:
CVE-2021-40454
Schwachstelle in Rich Text Edit Control ermöglicht Ausspähen von InformationenCVE-2021-40471
Schwachstelle in Microsoft Office ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-40472
Schwachstelle in Microsoft Excel ermöglicht Ausspähen von InformationenCVE-2021-40473 CVE-2021-40474 CVE-2021-40479 CVE-2021-40485
Schwachstellen in Microsoft Excel ermöglichen Ausführen beliebigen ProgrammcodesCVE-2021-40480
Schwachstelle in Microsoft Office Visio ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-40481
Schwachstelle in Microsoft Office Visio ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-40482
Schwachstelle in Microsoft SharePoint ermöglicht Ausspähen von InformationenCVE-2021-40483 CVE-2021-40484
Schwachstellen in Microsoft SharePoint ermöglichen Darstellen falscher InformationenCVE-2021-40486
Schwachstelle in Microsoft Word ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-40487 CVE-2021-41344
Schwachstellen in Microsoft SharePoint ermöglichen Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.