[Microsoft/Windows] Microsoft stellt Patches für zwei Schwachstellen bereit
(2012-09-12 09:52:53.460497+00)
Quelle:
http://technet.microsoft.com/en-us/security/bulletin/ms12-sepIm Rahmen seines Security Bulletin Summary for September 2012 stellt Microsoft Patches für insgesamt zwei Schwachstellen bereit. Die Schwachstellen betreffen den Microsoft Visual Studio Team Foundation Server sowie den Microsoft System Center Configuration Manager. Beide Schwachstellen ermöglichen unprivilegierten regulären Benutzern die Erweiterung ihrer Privilegien auf dem beherbergenden System. Sofern es einem externen Angreifer gelingt, einen solchen Benutzer dazu zu veranlassen, einem speziell präparierten URL zu folgen, kann er diese Schwachstelle dazu ausnutzen, das beherbergende System zu kompromittieren.
Inhalt
Zusammenfassung
- CVE-2012-1892:
Betroffen: - Microsoft Visual Studio .NET 2003 SP1
- Microsoft Visual Studio 2005 SP1
- Microsoft Visual Studio Team Foundation Server 2005 SP1
- Microsoft Visual Studio 2008 SP1
- Microsoft Visual Studio Team Foundation Server 2008 SP1
- Microsoft Visual Studio 2010 SP1
- Microsoft Visual Studio LightSwitch 2011
- Microsoft Visual Studio 2012
- Microsoft Visual Studio Team Foundation Server 2012
Plattform: Microsoft Windows Einfallstor: Script-Code z.B. über einen speziell präparierter URL (z.B. per Webseite oder E-Mail-Nachricht) Angriffsvoraussetzung: - Benutzerinteraktion oder
- Zugriff auf ein Benutzerkonto auf einem betroffenen System (Berechtigungsnachweis)
Angriffsvektorklasse: Netzwerkgruppe Auswirkung: cross-site-scripting Typ: unzureichende Eingabeüberprüfung (input validation flaw) Gefahrenpotential: hoch Workaround: nein Gegenmaßnahmen: Installation der im Microsoft Bulletin MS12-061 bereitgestellten Patches Vulnerability ID: CVE-2012-1892 - CVE-2012-2536:
Betroffen: - Microsoft Systems Management Server 2003 SP3
- Microsoft System Center Configuration Manager 2007 SP2
Nicht betroffen: - Microsoft System Center Configuration Manager 2007 R2
- Microsoft System Center Configuration Manager 2007 R3
- Microsoft System Center 2012 Configuration Manager
Plattform: Microsoft Windows Einfallstor: Script-Code z.B. über einen speziell präparierter URL (z.B. per Webseite oder E-Mail-Nachricht) Angriffsvoraussetzung: - Benutzerinteraktion oder
- Zugriff auf ein Benutzerkonto auf einem betroffenen System (Berechtigungsnachweis)
Angriffsvektorklasse: Netzwerkgruppe Auswirkung: cross-site-scripting Typ: unzureichende Eingabeüberprüfung (input validation flaw) Gefahrenpotential: hoch Workaround: nein Gegenmaßnahmen: Installation der im Microsoft Bulletin MS12-062 bereitgestellten Patches Vulnerability ID: CVE-2012-2536
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=1696