![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/Office1.jpg\")
[English]Zum 8. November 2022 hat Microsoft zwar Sicherheitsupdates f\u00fcr seine Office Online Server ver\u00f6ffentlicht, um Schwachstellen in Word und Excel zu schlie\u00dfen. Meinen Informationen nach existiert eine Schwachstelle, (Server-Side Request Forgery, SSRF, bis RCE, Remote Code Execution) die Microsoft nicht beseitigen will.<\/p>\n
<\/p>\n
Ich hatte im Blog-Beitrag Patchday: Microsoft Office Updates (8. November 2022)<\/a> auch die beiden Sicherheitsupdates f\u00fcr den Microsoft Office Online Server aufgelistet:<\/p>\n Beide Updates schlie\u00dfen nachfolgende Schwachstellen:<\/p>\n Allerdings werden nicht alle bekannten Schwachstellen in Microsoft Office Online Server beseitigt. <\/p>\n Ich bin vor einiger Zeit bereits auf nachfolgenden Tweet<\/a> von Will Dormann gesto\u00dfen, der auf das Thema hinweist. Es geht um eine RCE-Schwachstelle, die nicht behoben werden soll. <\/p>\n Sicherheitsexperten von MDSec haben w\u00e4hrend eines routinem\u00e4\u00dfigen Penetrationstests eine Server-Side Request Forgery-Schwachstelle, die unter den richtigen Bedingungen ausgenutzt werden kann, um Remotecodeausf\u00fchrung auf dem Office Online Server selbst zu erreichen, entdeckt. <\/p>\n Der Endpunkt \/op\/view.aspx in Office Online Server soll dazu dienen, Office-Dokumente von entfernten Ressourcen abzurufen und sie im Browser anzuzeigen. Der Endpunkt ist von einer klassischen serverseitigen Anforderungsf\u00e4lschung (Server-Side Request Forgery) betroffen, bei der durch die Angabe eines HTTP(s)- oder UNC-Speicherorts eine Verbindung von der Anwendung initiiert wird. Betroffen sind alle Office Online Server Versionen bis einschlie\u00dflich 16.0.10338.20039.<\/p>\n Das Team hat dem Microsoft MSRC die Schwachstelle in Microsoft Office Online Server gemeldet, das man die Remote Code Execution (RCE) als kritisch erachtete. Das Microsoft Security Response Center hat sich die Sache angesehen und geantwortet, dass man diese Schwachstelle nicht beseitigen werde. Die Sicherheitsforscher von MDSec haben die Details der Schwachstelle inzwischen im Blog-Beitrag Microsoft Office Online Server Remote Code Execution<\/a> \u00f6ffentlich gemacht. <\/p>\n","protected":false},"excerpt":{"rendered":" [English]Zum 8. November 2022 hat Microsoft zwar Sicherheitsupdates f\u00fcr seine Office Online Server ver\u00f6ffentlicht, um Schwachstellen in Word und Excel zu schlie\u00dfen. Meinen Informationen nach existiert eine Schwachstelle, (Server-Side Request Forgery, SSRF, bis RCE, Remote Code Execution) die Microsoft nicht … Weiterlesen Der Office Online Server<\/a> von Microsoft ist die n\u00e4chste Generation des Office Web Apps Servers. Office Online Server bietet browserbasierte Versionen von Word, PowerPoint, Excel und OneNote. Eine einzelne Office Online Server-Farm kann Benutzer unterst\u00fctzen, die \u00fcber SharePoint Server, Exchange Server, freigegebene Ordner und Websites auf Office-Dateien zugreifen. Das Produkt kann in SharePoint integriert werden, um einen webbasierten Zugriff auf diese Dokumente innerhalb von Sharepoint zu erm\u00f6glichen.<\/p>\n
Sicherheitsupdates Nov. 2022<\/h2>\n
\n
\n
Offene Schwachstelle<\/h2>\n
![\"Unfixed](\"https:\/\/i.imgur.com\/fNYKysg.png\"\/ "\\"Unfixed")
<\/a><\/p>\n