2022-1033: Microsoft Visual Studio, Visual Studio Code: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2022-05-11 12:30)
- Neues Advisory
- Version 2 (2022-05-19 14:28)
- Microsoft informiert darüber, dass Visual Studio 2019 Sersion 16.11 ebenfalls von der Schwachstelle CVE-2022-23267 betroffen ist. Das Sicherheitsupdate zum Patchtag im Mai 2022 hat diese Schwachstelle bereits behoben, d.h. es ist keine weitere Aktion notwendig nach dessen Installation.
- Version 3 (2022-06-15 13:17)
- Microsoft informiert darüber, dass Visual Studio 2019 for Mac und Visual Studio 2022 for Mac ebenfalls von der Schwachstelle CVE-2022-23267 betroffen sind. Mit dem Sicherheitsupdate zum Patchtag im Juni 2022 stehen neue Versionen zur Verfügung.
Betroffene Software
Entwicklung
Office
Betroffene Plattformen
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen. Ein Angreifer kann eine weitere Schwachstelle lokal ausnutzen, um beliebigen Programmcode auszuführen.
Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
Im Rahmen des Microsoft Patchtags im Mai 2022 informiert Microsoft über die Schwachstellen und veröffentlicht Sicherheitsupdates. Die zur Verfügung gestellten Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Developer Tools' und die entsprechenden 'Visual Studio'-Produkte identifiziert werden. Die Visual Studio Versionen 2022 17.0.10 und 2022 17.1.7 enthalten die aktuelle Version von 'webview2', um die Schwachstelle CVE-2022-1096 in Google Chrome zu beheben.
Schwachstellen:
CVE-2022-1096
Schwachstelle in V8 ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-23267
Schwachstelle in .NET Core, PowerShell und Microsoft Visual Studio ermöglicht Denial-of-Service-AngriffCVE-2022-29117
Schwachstelle in .NET Core und Microsoft Visual Studio ermöglicht Denial-of-Service-AngriffCVE-2022-29145
Schwachstelle in .NET Core und Microsoft Visual Studio ermöglicht Denial-of-Service-AngriffCVE-2022-29148
Schwachstelle in Microsoft Visual Studio ermöglicht Ausführen beliebigen ProgrammcodesCVE-2022-30129
Schwachstelle in Visual Studio Code ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.