[English]Kurzer Nachtrag von dieser Woche. Microsoft hat zum 16. November 2021 eine Sicherheitswarnung herausgegeben. Es wird dort mitgeteilt, das der Windows 10 Update Assistant Elevation of Privilege Sicherheitslücken aufweist. Konkret geht es um zwei Schwachstellen CVE-2021-42297 und CVE-2021-43211. Zudem gab es einige Update-Revisionen zu Schwachstellen in Excel etc.
Anzeige
Elevation of Privilege im Windows 10 Update Assistant
Im Windows 10 Update Assistant Elevation of Privilege wurden zwei Schwachstellen gefunden, die eine Ausweitung der Rechte ermöglichen. Hier die Sicherheitsmeldung:
– CVE-2021-42297 | Windows 10 Update Assistant Elevation of Privilege Vulnerability
– Version: 1.0
– Reason for Revision: Information published.
– Originally posted: November 16, 2021
– Updated: N/A
– Aggregate CVE Severity Rating: Important
– CVE-2021-43211 | Windows 10 Update Assistant Elevation of Privilege Vulnerability
– Version: 1.0
– Reason for Revision: Information published.
– Originally posted: November 16, 2021
– Updated: N/A
– Aggregate CVE Severity Rating: Important
Ein Angreifer wäre über beide Schwachstellen nur in der Lage, gezielt Dateien auf einem System zu löschen. Er würde keine Berechtigung zum Anzeigen oder Ändern von Dateiinhalten erhalten. Microsoft stuft die Ausnutzbarkeit dieser Schwachstelle, die von mehreren Sicherheitsforschern gemeldet wurden, als niedrig ein. Microsoft hat aber den Windows 10 Update Assistant aktualisiert und bietet die revidierte Version auf der Windows 10-Download-Seite an.
Anzeige
Weitere CVE-Revisionen
Zudem wurden an früheren Sicherheitswarnungen einige Revisionen in der Beschreibung/Einstufung vorgenommen. Hier die betreffenden Informationen:
* CVE-2021-40442
* CVE-2021-42292
* CVE-2021-42321
– CVE-2021-40442 | Microsoft Excel Remote Code Execution Vulnerability
– Version: 2.0
– Reason for Revision: Microsoft is announcing the availability of the security updates
for Microsoft Office for Mac. Customers running affected Mac software should install
the update for their product to be protected from this vulnerability. Customers
running other Microsoft Office software do not need to take any action. See the
Release Notes for more information and download links.
– Originally posted: November 9, 2021
– Updated: November 16, 2021
– Aggregate CVE Severity Rating: Important
– CVE-2021-42292 | Microsoft Excel Security Feature Bypass Vulnerability
– Version: 2.0
– Reason for Revision: Microsoft is announcing the availability of the security updates
for Microsoft Office for Mac. Customers running affected Mac software should install
the update for their product to be protected from this vulnerability. Customers
running other Microsoft Office software do not need to take any action. See the
Release Notes for more information and download links.
– Originally posted: November 9, 2021
– Updated: November 16, 2021
– Aggregate CVE Severity Rating: Important
– CVE-2021-42321 | Microsoft Exchange Server Remote Code Execution Vulnerability
– Version: 1.1
– Reason for Revision: Added Microsoft Exchange Server 2013 to the Security Updates
table. Customers that are using this version of Microsoft Exchange should install
this update to be protected from this vulnerability.
– Originally posted: November 9, 2021
– Updated: November 16, 2021
– Aggregate CVE Severity Rating: Important
Anzeige
Im Gegensatz zu den Schwachstellen https://seclists.org/fulldisclosure/2021/Oct/18 im Windows 11 Installation Assistant, die "arbitrary code execution" mit "elevation of privilege" ermöglichen, und die die Spezial-Experten aus Redmond nicht stopfen wollen, sind diese Lücken "almost harmless" (© Douglas Adams)
Mahlzeit,
kurze Info zum letzten Teil CVE-2021-42321:
Revisions
1.2
Nov 17, 2021
Removed Exchange Server 2013 from the Security Updates table as it is not affected by this vulnerability.
1.1
Nov 16, 2021
Added Microsoft Exchange Server 2013 to the Security Updates table. Customers that are using this version of Microsoft Exchange should install this update to be protected from this vulnerability.
Quelle ist der entsprechende Link im Blogpost.