2022-0051: Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2022-01-12 11:15)
- Neues Advisory
- Version 2 (2022-01-17 09:29)
- Der Hersteller Microsoft informiert über die Verfügbarkeit von Sicherheitsupdates für Microsoft Office for Mac, welche die Schwachstellen CVE-2022-21840 und CVE-2022-21841 beheben. Für weitere Informationen wird auf die Release Notes verwiesen.
Betroffene Software
Middleware
Netzwerk
Office
Betroffene Plattformen
Apple
Microsoft
Beschreibung:
Ein Angreifer kann zwei Schwachstellen aus der Ferne und zwei Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen.
Für die Ausnutzung einer Schwachstelle benötigt ein Angreifer niedrige Privilegien allerdings keine Benutzerinteraktion. Für die Ausnutzung aller anderen Schwachstellen sind keine Privilegien erforderlich, aber stets die Interaktion eines Benutzers.
Für Microsoft 365 Apps for Enterprise, Excel, Office, Office LTSC, Office Online Server, Office Web Apps Server, Sharepoint Foundation, Sharepoint Server und Word auf Windows-Betriebssystemen stehen im Zuge des Patchtages im Januar 2022 Sicherheitsupdates zur Behebung der Schwachstellen bereit.
Die Schwachstellen CVE-2022-21840 und CVE-2022-21841 betreffen auch Microsoft Office 2019 for Mac und Office LTSC for Mac 2021; die entsprechenden Sicherheitsupdates für macOS-Betriebssysteme stehen allerdings nicht direkt zur Verfügung, sondern werden von Microsoft baldmöglichst veröffentlicht.
Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden.
Schwachstellen:
CVE-2022-21837
Schwachstelle in Microsoft Sharepoint ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-21840
Schwachstelle in Microsoft Office ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-21841
Schwachstelle in Microsoft Excel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-21842
Schwachstelle in Microsoft Word ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.