Beveiligingsadvies NCSC-2024-0283 [1.00] [M/M] Kwetsbaarheden verholpen in Microsoft Developer Tools

Samenvatting en Uitgebreide Informatie over Kwetsbaarheden in Microsoft Developer Tools

Het Nationaal Cyber Security Centrum (NCSC) heeft kwetsbaarheden in Microsoft Developer Tools geïdentificeerd en verholpen. Specifiek betreft het veiligheidslekken in Visual Studio en .NET. Dit document biedt meer gedetailleerde informatie over deze kwetsbaarheden, de risico’s die zij vormen, en de aanbevelingen voor het oplossen ervan.

Belangrijke Notities over de Adviespagina

De inhoud van deze adviespagina is een geautomatiseerde omzetting van officiële advisories naar HTML. Hierdoor kan enige informatie verloren gaan. De officiële Signed PGP-versies zijn leidend en worden aangeraden voor volledige nauwkeurigheid.

Publicatieoverzicht

Op de adviespagina wordt een historisch overzicht van publicaties gegeven:

Publicatie Kans Schade Overig
vandaag Medium Medium NCSC-2024-0283

Details van de Kwetsbaarheden

Kenmerken

De kwetsbaarheden zijn als volgt geclassificeerd:

  • Improper Input Validation
  • Use After Free
  • Improper Link Resolution Before File Access (‘Link Following’)
  • Uncontrolled Resource Consumption

Omschrijving

Er zijn verschillende kwetsbaarheden verholpen in zowel Visual Studio als .NET. Deze kwetsbaarheden stellen een kwaadwillende in staat om willekeurige code uit te voeren met de rechten van het slachtoffer. Daarnaast kan een Denial-of-Service veroorzaakt worden. Voor succesvol misbruik moet een race-conditie gewonnen worden.

Bereik

De kwetsbaarheden treffen meerdere versies van de volgende producten:

  • .NET Framework versies van 2.0 SP2 tot en met 4.8.1
  • Visual Studio 2022 versies 17.10, 17.4, 17.6, en 17.8

Voor een gedetailleerd overzicht van getroffen platforms, producten en versies kunt u de tabel onder "Bereik" raadplegen in de oorspronkelijke adviespagina.

Oplossingen

Microsoft heeft updates uitgebracht die deze beveiligingsproblemen oplossen. Het wordt dringend aanbevolen deze updates zo spoedig mogelijk te installeren. Meer informatie over de updates en eventuele workarounds is beschikbaar op de Microsoft Security Guidance portal.

CVE’s

De volgende CVE’s zijn toegewezen aan de kwetsbaarheden:

Bij gebruik van deze security advisory gelden bepaalde voorwaarden. Het NCSC doet haar best om volledige, juiste en actuele informatie te bieden, maar kan dit niet volledig garanderen. De informatie is alleen bedoeld als algemene informatie voor professionele partijen, en er kunnen geen rechten aan worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade voortvloeiend uit het gebruik van dit beveiligingsadvies. Het Nederlandse recht is van toepassing op dit advies. Geschillen zullen worden voorgelegd aan de bevoegde rechter in Den Haag.

Adresseer eventuele verdere vragen of behoefte aan gedetailleerde informatie naar de officiële documentatie en advisories van het NCSC.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl


Lees Hier de Laatste Updates uit Onze Securitylog