2022-0308: Microsoft Visual Studio, Visual Studio Code: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-02-09 08:25)

Neues Advisory

Betroffene Software

Entwicklung
Office

Betroffene Plattformen

Microsoft

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Die Schwachstelle CVE-2022-21991 betrifft Visual Studio Code vor Version 1.64.

Die Schwachstelle CVE-2022-21986 wird in Sicherheitsupdates für Visual Studio 2019 for Mac 8.10, Visual Studio 2022 17.0 sowie Visual Studio 2019 16.11 und 16.9 adressiert. Letztere decken auch die Vorversionen aus dem Versionszweig 16.x ab.

Im Rahmen des Microsoft Patchtags im Februar 2022 informiert Microsoft über die Schwachstellen und veröffentlicht Sicherheitsupdates. Die zur Verfügung gestellten Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Developer Tools' und die entsprechenden 'Visual Studio'-Produkte identifiziert werden.

Schwachstellen:

CVE-2022-21986

Schwachstelle in .NET Core ermöglicht Denial-of-Service-Angriff

CVE-2022-21991

Schwachstelle in Visual Studio Code ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.