Kritische Sicherheitslücke in SharePoint

Ein Mann im Kapuzenpullover sitzt mit einem Laptop an einem Schreibtisch und untersucht Sicherheitslücken.

Veröffentlicht:
Aktualisiert: 27. Juni 2021

Am 13. Oktober hat Microsoft einen Sicherheitshinweis zur Schwachstelle CVE-2020-16952 – «Sicherheitsanfälligkeit in Microsoft SharePoint bezüglich Remotecodeausführung» veröffentlicht.

Der dazu veröffentlichte Kurzbeschrieb von Microsoft lautet:

In Microsoft SharePoint besteht eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung, wenn die Software das Quellmarkup eines Anwendungspakets nicht prüft. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann beliebigen Code im Kontext des SharePoint-Anwendungspools und des SharePoint-Serverfarmkontos ausführen.

Die Ausnutzung dieser Sicherheitsanfälligkeit erfordert, dass ein Benutzer ein speziell gestaltetes SharePoint-Anwendungspaket auf eine betroffene SharePoint-Version hochlädt.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie SharePoint das Quellmarkup von Anwendungspaketen prüft.

Quelle: Microsoft

Gemäss der Aussage von Microsoft wurde die Lück bislang weder öffentlich gemacht noch ausgenutzt. Microsoft schätzt zudem die Wahrscheinlichkeit einer Ausnutzung als «unwahrscheinlich» ein.

Von dieser Sicherheitslücke betroffen sind die SharePoint-Versionen 2013, 2016 und 2019.

Microsoft stellt für alle Versionen Sicherheitsupdates bereit:

ProduktSchweregradArtikel
Microsoft SharePoint Enterprise Server 2016Critical4486677
Microsoft SharePoint Server 2019Critical4486676
Microsoft SharePoint Foundation 2013 Service Pack 1Critical4486694

Diese dürften in den kommenden CU Updates (Oktober) bereits enthalten sein.

Beitrag teilen
Geschrieben von

Benjamin Forgas

Projektleiter

Profil anzeigen

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IOZ_LOGO_weiss

Profis für M365-Intranets & digitale Arbeitsplätze, Power Apps, Power Automate Workflows, sowie Managementsysteme.

Angebote

Angebotsübersicht

Nach oben scrollen