2022-0309: Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-02-09 12:30)

Neues Advisory

Version 2 (2022-02-18 08:03)

Microsoft gibt die Verfügbarkeit von Sicherheitsupdates für Microsoft Office for Mac bekannt. Mit Version 16.58 (Build 22021501) werden die Schwachstellen CVE-2022-22003 (Office Suite) und CVE-2022-22716 (Excel) in Office 2019 for Mac, Office LTSC 2021 for Mac und Office 2021 for Mac behoben.

Betroffene Software

Middleware
Netzwerk
Office

Betroffene Plattformen

Apple
Google
Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen, beliebigen Programmcode auszuführen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Ein Angreifer kann mehrere Schwachstellen lokal ausnutzen, um Informationen auszuspähen und beliebigen Programmcode auszuführen. Ein Angreifer mit physischem Zugriff auf ein betroffenes System kann eine Schwachstelle ausnutzen, um Sicherheitsvorkehrungen zu umgehen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.

Die Microsoft Produkte 365 Apps for Enterprise, Excel, Office, Office LTSC, Office Online Server, Office Web Apps Server, OneDrive für Android, Outlook für macOS, Sharepoint Foundation, Sharepoint Server, Teams für Android und iOS sowie Teams Admin Center sind jeweils von mindestens einer Schwachstelle betroffen und werden im Rahmen des Microsoft Patchtages im Februar 2022 aktualisiert.
Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden.

Schwachstellen:

CVE-2022-21965

Schwachstelle in Microsoft Teams ermöglicht Denial-of-Service-Angriff

CVE-2022-21968

Schwachstelle in Microsoft Sharepoint ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-21987

Schwachstelle in Microsoft Sharepoint Server ermöglicht Darstellen falscher Informationen

CVE-2022-21988

Schwachstelle in Microsoft Office Visio ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-22003

Schwachstelle in Microsoft Office-Grafikkomponente ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-22004

Schwachstelle in Microsoft Office ClickToRun ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-22005

Schwachstelle in Microsoft Sharepoint Server ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-22716

Schwachstelle in Microsoft Excel ermöglicht Ausspähen von Informationen

CVE-2022-23252

Schwachstelle in Microsoft Office ermöglicht Ausspähen von Informationen

CVE-2022-23255

Schwachstelle in Microsoft OneDrive ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-23280

Schwachstelle in Microsoft Outlook ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.