2024-1768: .NET Core, Microsoft Visual Studio: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2024-07-10 14:15): Neues Advisory

Betroffene Software

Entwicklung
Systemsoftware

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen und Denial-of-Service (DoS)-Angriffe durchzuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um Administratorrechte zu erlangen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers im Rahmen des Installationsvorgangs von Visual Studio auf Windows.

Zur Behebung der Schwachstellen in Microsoft .NET Core stehen die Releases .NET 6.0.32 und 8.0.7 zur Verfügung. In Visual Studio werden die Schwachstellen mit Visual Studio 2022 Version 17.10.4 adressiert. .NET Core 6.0 ist nur von CVE-2024-38081 und CVE-2024-38095 betroffen. CVE-2024-38081 betrifft .NET Core 8.0 nicht.

Microsoft behebt die Schwachstellen im Rahmen des Microsoft Patchtags im Juli 2024. Die verfügbaren Sicherheitsupdates können im Microsoft Security Update Guide über die Kategorie 'Development Tools' und die Produkte '.NET 6.0', '.NET 8.0' und 'Visual Studio' identifiziert werden. .NET Framework ist in Versionen 2.0, 3.0, 3.5, 4.6.2, 4.7, 4.7.1, 4.8 und 4.8.1 laut Hersteller von CVE-2024-38081 betroffen. Die Angaben in den Schwachstellenbeschreibungen und Patch-Referenzen von Microsoft sind aber widersprüchlich.

Schwachstellen:

CVE-2024-30105

Schwachstelle in .NET Core ermöglicht Denial-of-Service-Angriff

CVE-2024-35264

Schwachstelle in .NET Core ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-38081

Schwachstelle in .NET Core ermöglicht Erlangen von SYSTEM-Privilegien

CVE-2024-38095