2023-1824: Microsoft Office, Office-Produkte und -Dienste: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2023-08-09 16:32)
- Neues Advisory
- Version 2 (2024-03-13 09:14)
- Der Hersteller Microsoft informiert darüber, dass die Schwachstellen CVE-2023-35372 und CVE-2023-36866 auch Microsoft Visio 2016 (32-bit und 64-bit Edition) betreffen. Anwendern wird dringend die Installation der verfügbaren Updates empfohlen, insofern nicht ohnehin automatische Updates konfiguriert sind.
Betroffene Software
Middleware
Netzwerk
Office
Betroffene Plattformen
Apple
Google
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen, beliebigen Programmcode auszuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um beliebigen Programmcode auszuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die meisten Schwachstellen erfordern die Interaktion eines Benutzers.
Die Schwachstellen betreffen verschiedene Versionen von Office, Office-Komponenten und -Produkten auf Windows-Systemen. Die Schwachstellen CVE-2023-35371, CVE-2023-36895 und CVE-2023-36896 betreffen auch Mac-Systeme für die aktuell noch keine Sicherheitsupdates zur Verfügung stehen. Der Herstellung hat angekündigt diese zeitnah zur Verfügung zu stellen.
Die Schwachstellen CVE-2023-29328 und CVE-2023-29330 betreffen auch Android, iOS und Mac-Systeme. Die Schwachstellen CVE-2023-29328 und CVE-2023-29330 in Microsoft Teams sowie CVE-2023-36895 in Microsoft Outlook werden als 'kritisch' eingestuft.
Außerdem stellt Microsoft ein "Defense-in-Depth-Update für Microsoft Office" bereit (siehe ADV230003), womit die Angriffskette zur Ausnutzung der Schwachstelle CVE-2023-36884 unterbrochen wird, die bereits am Patchtag im Juli 2023 veröffentlicht wurde.
Microsoft adressiert die Schwachstellen im Rahmen des Patchtags im August 2023. Diese können im Microsoft Security Update Guide über die Kategorie 'Microsoft Office' identifiziert werden.
Schwachstellen:
CVE-2023-29328 CVE-2023-29330
Schwachstellen in Microsoft Teams ermöglichen Ausführen beliebigen ProgrammcodesCVE-2023-35371
Schwachstelle in Microsoft Office ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-35372 CVE-2023-36865 CVE-2023-36866
Schwachstellen in Microsoft Office ermöglichen Ausführen beliebigen ProgrammcodesCVE-2023-36769
Schwachstelle in Microsoft OneNote ermöglicht Darstellen falscher InformationenCVE-2023-36890
Schwachstelle in Microsoft Sharepoint Server ermöglicht Ausspähen von InformationenCVE-2023-36891 CVE-2023-36892
Schwachstellen in Microsoft Sharepoint Server ermöglichen Manipulation von DateienCVE-2023-36893
Schwachstelle in Microsoft Outlook ermöglicht Darstellen falscher InformationenCVE-2023-36894
Schwachstelle in Microsoft Sharepoint Server ermöglicht Ausspähen von InformationenCVE-2023-36895
Schwachstelle in Microsoft Outlook ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-36896
Schwachstelle in Microsoft Excel ermöglicht Ausführen beliebigen ProgrammcodesCVE-2023-36897
Schwachstelle in Visual Studio Tools ermöglicht Darstellen falscher Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.