Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Microsoft-en produktuetan

Argitalpen data: 2019/01/16

Garrantzia: Handia

Kaltetutako baliabideak:

  • Team Foundation Server 2017, 3.1 bertsioa
  • Team Foundation Server 2018, 1.2 eta 3.2 bertsioak
  • Skype for Business Server 2015 CU 8

Azalpena:

Microsoftek bere zenbait produkturi eragiten dieten 3 ahultasun konpondu ditu zikloz kanpo.

Konponbidea:

  • Microsoftek banatutako partxe automatikoen bitartez kaltetutako sistema eguneratzea.

Xehetasuna:

Honakoak dira larritasun altuko ahultasunak:

  • Skype for Business Server-eko zerbitzari batek bereziki diseinatutako eskaera bat modu egokian baliozkotzen ez duenean gertatzen den identitatea ordezteko ahultasun bat baliatuz, autentifikatutako erasotzaile batek eskaera hori bidal lezake eta scriptak exekutatu. Ahultasun horretarako CVE-2019-0624 identifikatzailea erreserbatu da.
  • Team Foundation Server-ek erabiltzaileak emandako informazioa modu egokian baliozkotzen ez duelako sortzen den Cross-site Scripting (XSS) erako ahultasun bat baliatuz, autentifikatutako erasotzaile batek bereziki diseinatutako payload bat bidal lezake eta scriptak exekutatu. Horien bitartez baimendu gabeko edukia irakur lezake, kode gaiztoa exekutatu eta biktimaren identitatea ordeztu. Ahultasun horretarako CVE-2019-0646 identifikatzailea erreserbatu da.

Larritasun ertaineko ahultasunerako CVE-2019-0647 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Microsoft, Ahultasuna