2022-2024: Visual Studio, Visual Studio Code: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes mit Benutzerrechten

Historie:

Version 1 (2022-09-14 09:38)

Neues Advisory

Betroffene Software

Entwicklung
Office

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann eine Schwachstelle in .NET Core aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff auf Visual Studio durchzuführen. Eine Schwachstelle in Visual Studio Code kann lokal ausgenutzt werden, um beliebigen Programmcode mit den Rechten des angemeldeten Benutzers auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die Schwachstelle CVE-2022-38020 erfordert die Interaktion eines Benutzers.

Im Rahmen des Microsoft Patchtags im September 2022 informiert Microsoft über die Schwachstellen und veröffentlicht Visual Studio 2019 Version 16.11.19 und 16.9.25, Visual Studio 2022 Version 17.0.14 und 17.3.4 sowie 17.3.5 for Mac und Visual Studio Code Version 1.71 als Sicherheitsupdates. Die zur Verfügung gestellten Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Developer Tools' und die entsprechenden 'Visual Studio'-Produkte identifiziert werden.

Schwachstellen:

CVE-2022-38013

Schwachstelle in .NET Core ermöglicht Denial-of-Service-Angriff

CVE-2022-38020

Schwachstelle in Visual Studio Code ermöglicht Ausführen beliebigen Programmcodes mit Benutzerrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.