2022-2852: Microsoft .NET Framework, .NETCore: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2022-12-14 12:10)

Neues Advisory

Version 2 (2023-07-03 09:52)

Microsoft informiert in einer Aktualisierung des Sicherheitshinweises zur Schwachstelle CVE-2022-41089 über die Veröffentlichung neuer Updates für .NET Framework and .NET, womit die durch die vorherigen Updates aufgetretenen Probleme bei der Darstellung von XPS-Dokumenten mit WPF-basierten Anwendungen behoben werden. Etwaige Workarounds oder Mitigationen sollen nach Installation der neuen Updates entfernt werden (siehe Microsoft Knowledge Base Artikel KB5022083: Change in how WPF-based applications render XPS documents), Referenz hinzugefügt).

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Microsoft

Beschreibung:

Ein Angreifer kann eine Schwachstelle lokal ausnutzen, um beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich. Die Schwachstelle erfordert die Interaktion eines Benutzers.

Zur Behebung der Schwachstelle stehen die Releases .NET Core 3.1.32, .NET 6.0.12 und 7.0.1 zur Verfügung.

Die im Rahmen des Microsoft Patchtags im Dezember 2022 bereitgestellten Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Developer Tools' und die entsprechenden .NET-Produkte identifiziert werden.

Schwachstellen:

CVE-2022-41089

Schwachstelle in .NET, .NET Framework, Microsoft Visual Studio und Powershell ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.