Kurz notiert: Gestern zum Patchday wurden nicht nur die Windows Versionen mit dem neuen Sicherheitsupdate ausgestattet. Auch .NET 7 (7.0.3) und .NET 6 (6.0.14) haben gestern ein Sicherheitsupdate erhalten. Hier wurde eine .NET Remote Code Execution Schwachstelle korrigiert.
Unter der CVE-2023-21808 wurde diese Sicherheitslücke beschrieben: „Es besteht eine Sicherheitsanfälligkeit in der Art und Weise, wie .NET Debugging-Symbole liest, wobei das Lesen einer bösartigen Symboldatei zu Remotecodeausführung führen kann.“
Visual Studio 2022 wurde gestern auch auf die Version 17.4.5 aktualisiert. Hier wurden neben vieler Korrekturen und Verbesserungen auch insgesamt 8 Sicherheitslücken korrigiert. Diese können einzeln im Microsoft Security Response Center nachgelesen werden.
- CVE-2023-21566 Visual Studio Installer Elevation of Privilege Vulnerability
- CVE-2023-21567 Visual Studio Denial of Service Vulnerability
- CVE-2023-21808 .NET and Visual Studio Remote Code Execution Vulnerability
- CVE-2023-21815 Visual Studio Remote Code Execution Vulnerability
- CVE-2023-23381 Visual Studio Code Remote Code Execution Vulnerability
- CVE-2022-23521 gitattributes parsing integer overflow
- CVE-2022-41903 Heap overflow in git archive, git log –format leading to RCE
- CVE-2022-41953 Git GUI Clone Remote Code Execution Vulnerability
Info und Download:
- devblogs.microsoft
- github.com/release-notes/7.0/7.0.3
- github.com/release-notes/6.0/6.0.14
- learn.microsoft.com/visualstudio/17.4.5
Ist die 3er Version noch supported?
Winget versucht (fehlerhaft) die 3er auf 6 zu aktualisieren, was natürlich so nicht funktioniert da es ein eigenes package ist.
gepostet mit der Deskmodder.de-App für Android
.NET Core 3 und 3.1 werden nicht mehr supportet. (Seit März 2020 bzw. Dezember 2022)