2021-2607: Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-12-15 12:05)

Neues Advisory

Version 2 (2021-12-21 14:33)

Microsoft hat die Schwachstelle CVE-2021-43876 ergänzt, welche ebenfalls durch das Dezember 2021 Sicherheitsupdate behoben wird.

Betroffene Software

Middleware
Netzwerk
Office

Betroffene Plattformen

Apple
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Privilegien zu eskalieren, beliebigen Programmcode auszuführen und falsche Informationen darzustellen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen, beliebigen Programmcode auszuführen und falsche Informationen darzustellen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle (CVE-2021-43242) kann Einfluss auf andere Komponenten haben.

Im Rahmen des Patchtages im Dezember 2021 veröffentlicht Microsoft Sicherheitsupdates für Microsoft 365 Apps for Enterprise, Excel, Office, Office LTSC, Office Online Server, Office Web Apps Server, Sharepoint Foundation und Sharepoint Server auf Windows Betriebssystemen. Eine Schwachstelle (CVE-2021-43875) betrifft auch Microsoft Office 2019 und Office LTSC 2021 auf MacOS Betriebssystemen und wird durch die bereitgestellten Sicherheitsupdates adressiert.

Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden.

Schwachstellen:

CVE-2021-42293

Schwachstelle in Jet Red Database Engine und Access Connectivity Engine ermöglicht Privilegieneskalation

CVE-2021-42294

Schwachstelle in Microsoft Sharepoint ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-42295

Schwachstelle in Visual Basic for Applications ermöglicht Ausspähen von Informationen

CVE-2021-42309

Schwachstelle in Microsoft Sharepoint ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-42320

Schwachstelle in Microsoft Sharepoint Server ermöglicht Darstellen falscher Informationen

CVE-2021-43242

Schwachstelle in Microsoft Sharepoint ermöglicht Darstellen falscher Informationen

CVE-2021-43255

Schwachstelle in Microsoft Office Trust Center ermöglicht Darstellen falscher Informationen

CVE-2021-43256

Schwachstelle in Microsoft Excel ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-43875

Schwachstelle in Microsoft Office Graphics ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-43876

Schwachstelle in Microsoft Sharepoint Server ermöglicht Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.