2023-1832: Microsoft Visual Studio: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-08-09 16:50): Neues Advisory

Betroffene Software

Entwicklung

Betroffene Plattformen

Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen und falsche Informationen darzustellen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Informationen auszuspähen und beliebigen Programmcode auszuführen.

Für die Ausnutzung der meisten Schwachstellen sind keine Privilegien erforderlich. Zwei Schwachstellen erfordern die Interaktion eines Benutzers.

Die Schwachstelle CVE-2023-38180 wird nach Information des Herstellers bereits aktiv ausgenutzt.

Im Rahmen des Microsoft Patchtags im August 2023 informiert Microsoft über die Schwachstellen und veröffentlicht Sicherheitsupdates. Es stehen die Visual Studio 2022 Versionen 17.7, 17.4.10 und 17.2.18 sowie die Visual Studio 2019 Version 16.11.29 und die Visual Studio 2017 Version 15.9.56 als Sicherheitsupdates zur Verfügung. Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Developer Tools' und die entsprechenden 'Visual Studio'-Produkte identifiziert werden.

Schwachstellen:

CVE-2023-35390

Schwachstelle in .NET Core und Microsoft Visual Studio ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-35391

Schwachstelle in .NET Core, ASP.NET Core und Microsoft Visual Studio ermöglicht Ausspähen von Informationen

CVE-2023-36897

Schwachstelle in Visual Studio Tools ermöglicht Darstellen falscher Informationen

CVE-2023-38178

Schwachstelle in .NET Core und Microsoft Visual Studio ermöglicht Denial-of-Service-Angriff

CVE-2023-38180