2023-0356: .NET Core, Microsoft .NET Framework: Zwei Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-02-15 12:07)

Neues Advisory

Version 2 (2023-03-30 11:46)

Microsoft hat KB5022498 erneut veröffentlicht, um damit dem bekannten Problem zu begegnen, dass nach Installation des .NET Framework 4.8 February Cumulative Updates (KB5022502), danach Upgrade auf .NET Framework 4.8.1 und nachfolgendem Scannen auf Updates die Installation von KB5022498 nicht möglich war. Kunden mit diesem Problem sollten nun nochmals nach Updates scannen und KB5022498 installieren. Kunden, die KB5022498 bereits erfolgreich installiert haben, brauchen nichts weiter zu tun.

Version 3 (2023-07-03 10:04)

Microsoft informiert in einer Aktualisierung des Sicherheitshinweises zur Schwachstelle CVE-2023-21808 über die Veröffentlichung neuer Updates für .NET Framework and .NET, womit die durch die vorherigen Updates aufgetretenen Probleme bei der Darstellung von XPS-Dokumenten mit WPF-basierten Anwendungen behoben werden. Etwaige Workarounds oder Mitigationen sollen nach Installation der neuen Updates entfernt werden (siehe Microsoft Knowledge Base Artikel KB5022083: Change in how WPF-based applications render XPS documents), Referenz hinzugefügt).

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein Angreifer kann zwei Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen und einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Zur Behebung der Schwachstelle CVE-2023-21808 stehen die Releases .NET 6.0.14 und .NET 7.0.3 zur Verfügung.

Microsoft behebt die Schwachstellen im Rahmen des Microsoft Patchtags im Februar 2023. Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Development Tools' und die Produkte '.NET 6.0' und '.NET 7.0' sowie 'Microsoft .NET Framework' identifiziert werden.

Schwachstellen:

CVE-2023-21722

Schwachstelle in Microsoft .NET Framework ermöglicht Denial-of-Service-Angriff

CVE-2023-21808

Schwachstelle in .NET Core und Microsoft Visual Studio ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.