2021-2329: Microsoft Visual Studio, Visual Studio Code: Mehrere Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2021-11-10 10:36)

Neues Advisory

Version 2 (2022-03-09 08:26)

Microsoft benennt nun Visual Studio 2022 Version 17.0 und Visual Studio 2022 Version 17.1 ebenfalls als betroffen von der als 'kritisch' angesehenen Schwachstelle CVE-2021-3711 und stellt Sicherheitsupdates für diese Versionen zur Verfügung.

Betroffene Software

Entwicklung
Office

Betroffene Plattformen

Microsoft

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff und weitere Angriffe durchzuführen. Zudem kann ein Angreifer mit niedrigen Privilegien mehrere Schwachstellen lokal ausnutzen, um Privilegien zu eskalieren.

Die Schwachstelle CVE-2021-3711 in OpenSSL wird von Microsoft als kritisch eingestuft.

Im Rahmen des Patchtags im November 2021 veröffentlicht Microsoft Sicherheitsupdates für Visual Studio 2015, Visual Studio 2017, Visual Studio 2019 und Visual Studio Code zur Behebung der aufgeführten Schwachstellen. Die zur Verfügung gestellten Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Developer Tools' und die entsprechenden 'Visual Studio'-Produkte identifiziert werden.

Schwachstellen:

CVE-2021-3711

Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-42277

Schwachstelle in Diagnostics Hub Standard Collector ermöglicht Privilegieneskalation

CVE-2021-42319

Schwachstelle in Microsoft Visual Studio ermöglicht Privilegieneskalation

CVE-2021-42322

Schwachstelle in Visual Studio Code ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.