BSI warnt vor Schwachstellen in den Microsoft Developer Tools

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Details zu einer kritischen Sicherheitslücke in den Microsoft Developer Tools, genauer gesagt in .NET Framework und Visual Studio, ver­öf­fent­licht. Microsoft hatte schon zum Patch-Day Updates verteilt.

Jetzt handeln und aktualisieren

Jetzt legt das BSI mit einer Sicherheitswarnung nach und mahnt, dass die Updates zeitnah eingespielt werden sollten. Es handelt sich um sechs Schwachstellen, die zusammengenommen als kritisch mit einem CVSS Base Score von 9,1 bewertet wurden. Ein Angriff kann dazu Remote, also aus der Ferne gestartet werden.

Demnach ist es möglich, dass ein Angreifer Sicherheitsmaßnahmen umgehen kann und sich mit höheren Privilegien ausstattet. Laut dem BSI gibt's zudem eine Vielzahl an betroffener Drittanbieter-Produkte, wie Oracle Linux, Red Hat Enterprise Linux und Ubuntu Linux.


Die Schwachstellen sind unter anderem im .NET Framework, einer Komponente des Microsoft Windows-Betriebssystems, das die Erstellung und Ausführung von Softwareanwendungen und Webdiensten ermöglicht, enthalten.

Visual Studio betroffen

Sicherheitslücken gibt es auch in der integrierten Entwicklungsumgebung Microsoft Visual Studio. Die bekannten Schwachstellen werden unter CVE-2024-0056, CVE-2024-0057, CVE-2024-20656, CVE-2024-20672, CVE-2024-21312 und CVE-2024-21319 geführt.

Denial of Service

Das Bürger-CERT warnt wie folgt: "Ein entfernter, anonymer, authentisierter oder lokaler Angreifer kann mehrere Schwachstellen in Microsoft Developer Tools ausnutzen, um seine Privilegien zu erhöhen, einen Denial of Service Zustand hervorzurufen oder Sicherheitsmaßnahmen zu umgehen."

Microsoft selbst hatte im Security-Bulletin zum Patch-Day Januar noch geschrieben, dass für viele dieser Schwachstellen die Ausnutzung weniger wahrscheinlich ist. Auch die Einschätzung des Schweregrads war für einige der Sicherheitslücken deutlich niedriger ausgefallen.


Siehe auch: