2023-1357: Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien
Historie:
- Version 1 (2023-06-14 13:19)
- Neues Advisory
- Version 2 (2023-09-15 18:25)
- Der Hersteller informiert mit einer Aktualisierung der betreffenden Security-Updates-Tabellen darüber, dass die Schwachstellen CVE-2023-27909 und CVE-2023-27911 auch Microsoft Office 2019, Microsoft Office LTSC 2021 und Microsoft 365 Apps for Enterprise betreffen und Sicherheitsupdates zur Behebung der Schwachstellen verfügbar sind (Schwachstellen hinzugefügt).
- Version 3 (2024-01-11 09:21)
- Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2023-29357 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen, da diese aktiv ausgenutzt wird.
Betroffene Software
Middleware
Netzwerk
Office
Betroffene Plattformen
Apple
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Privilegien zu eskalieren, beliebigen Programmcode auszuführen, Sicherheitsvorkehrungen zu umgehen, einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers.
Die Schwachstellen betreffen verschiedene Versionen von Office, Office-Komponenten und -Produkten auf Windows-Systemen. Die Schwachstellen CVE-2023-32029, CVE-2023-33133 und CVE-2023-33146 betreffen auch Mac-Systeme. Die Schwachstelle CVE-2023-29357 in Microsoft SharePoint Server wird als 'kritisch' eingestuft.
Microsoft adressiert die Schwachstellen im Rahmen des Patchtags im Juni 2023. Diese können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden.
Schwachstellen:
CVE-2023-27909
Schwachstelle in Autodesk FBX SDK und Microsoft Visual Studio ermöglicht u. a. Ausführen beliebigen ProgrammcodesCVE-2023-27911
Schwachstelle in Autodesk FBX SDK und Microsoft Visual Studio ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-29357
Schwachstelle in Microsoft Sharepoint Server ermöglicht u. a. PrivilegieneskalationCVE-2023-32029 CVE-2023-33133
Schwachstellen in Microsoft Excel ermöglichen Ausführen beliebigen ProgrammcodesCVE-2023-33129
Schwachstelle in Microsoft Sharepoint Server ermöglicht Denial-of-Service-AngriffCVE-2023-33130
Schwachstelle in Microsoft Sharepoint Server ermöglicht Darstellen falscher InformationenCVE-2023-33131
Schwachstelle in Microsoft Outlook ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-33132
Schwachstelle in Microsoft Sharepoint Server ermöglicht u. a. Darstellen falscher InformationenCVE-2023-33137
Schwachstelle in Microsoft Excel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-33140
Schwachstelle in Microsoft OneNote ermöglicht Ausspähen von InformationenCVE-2023-33142
Schwachstelle in Microsoft Sharepoint Server ermöglicht PrivilegieneskalationCVE-2023-33146
Schwachstelle in Microsoft Office ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.