2021-2609: Microsoft Visual Studio, Visual Studio Code: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2021-12-15 11:28)
- Neues Advisory
- Version 2 (2022-04-13 09:38)
- Microsoft hat anlässlich des Microsoft Patchtages im April 2022 den Sicherheitshinweis zu Schwachstelle CVE-2021-43877 aktualisiert, um darauf hinzuweisen, dass auch Visual Studio 2022 Version 17.1 von dieser betroffen ist, und veröffentlicht gleichzeitig Visual Studio 2022 Version 17.1.4 als Sicherheitsupdate.
Betroffene Software
Entwicklung
Office
Betroffene Plattformen
Microsoft
Beschreibung:
Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und falsche Informationen darzustellen (Spoofing). Zudem kann ein Angreifer, der in einem Fall über niedrige Privilegien verfügen muss, zwei weitere Schwachstellen lokal ausnutzen, um Privilegien zu eskalieren und beliebigen Programmcode auszuführen. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.
Die Schwachstelle CVE-2021-43907 wird von Microsoft als kritisch eingestuft.
Im Rahmen des Patchtages im Dezember 2021 veröffentlicht Microsoft Sicherheitsupdates für Visual Studio 2019, Visual Studio 2022 und Visual Studio Code zur Behebung der aufgeführten Schwachstellen. Die zur Verfügung gestellten Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Developer Tools' und die entsprechenden 'Visual Studio'-Produkte identifiziert werden.
Schwachstellen:
CVE-2021-43877
Schwachstelle in ASP.NET Core und Microsoft Visual Studio ermöglicht PrivilegieneskalationCVE-2021-43891
Schwachstelle in Visual Studio Code ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-43907
Schwachstelle in Visual Studio Code ermöglicht Ausführen beliebigen ProgrammcodesCVE-2021-43908
Schwachstelle in Visual Studio Code ermöglicht Darstellen falscher Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.