2023-0561: Microsoft Visual Studio: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2023-03-15 13:53)
- Neues Advisory
Betroffene Software
Entwicklung
Betroffene Plattformen
Microsoft
Beschreibung:
Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um Informationen auszuspähen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Dateien zu manipulieren, Benutzerrechte zu erlangen und beliebigen Programmcode auszuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Alle Schwachstellen erfordern die Interaktion eines Benutzers.
Im Rahmen des Microsoft Patchtags im März 2023 informiert Microsoft über die Schwachstellen und veröffentlicht Sicherheitsupdates. Es stehen die Visual Studio 2022 Versionen 17.5.2, 17.4.6, 17.2.14 und 17.0.20 sowie die Visual Studio 2019 Version 16.11.25 und die Visual Studio 2017 Version 15.9.53 als Sicherheitsupdates zur Verfügung. Die hier aufgeführten Schwachstellen betreffen die mit Visual Studio ausgelieferten Pakete mingit und Git for Windows. Im Sicherheitshinweis zu Visual Studio 2022 Version 17.0.20 wird zusätzlich die bisher unveröffentlichte Schwachstelle CVE-2022-26893 (SMTP-Adress-Injektion) erwähnt.
Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Developer Tools' und die entsprechenden 'Visual Studio'-Produkte identifiziert werden.
Schwachstellen:
CVE-2023-22490
Schwachstelle in Git ermöglicht Ausspähen von InformationenCVE-2023-22743
Schwachstelle in Git for Windows ermöglicht Erlangen von BenutzerrechtenCVE-2023-23618
Schwachstelle in Git for Windows ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-23946
Schwachstelle in Git ermöglicht Manipulation von Dateien
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.