Ein Angreifer kann mehrere Schwachstellen in Microsoft Visual Studio Code, .NET Framework, Microsoft .NET, Visual Studio 2022 und Visual Studio 2026 ausnutzen, um erweiterte Berechtigungen zu erlangen, beliebigen Code auszuführen, Sicherheitsmaßnahmen zu umgehen, Daten zu manipulieren oder offenzulegen, einen Denial-of-Service-Zustand auszulösen oder Spoofing-Angriffe durchzuführen. Die Information stammt aus einer Sicherheitsberatung des CERT-Bund.
Betroffene Produkte
Die betroffenen Komponenten umfassen die Quellcode‑Editor‑Umgebung Visual Studio Code, das .NET Framework, die Laufzeitumgebung Microsoft .NET sowie die integrierten Entwicklungsumgebungen Visual Studio 2022 und die noch nicht veröffentlichte Version Visual Studio 2026. Jede dieser Plattformen wird weltweit von Entwicklern und Unternehmen für die Erstellung von Software eingesetzt.
Mögliche Angriffsvektoren
Nach Angaben des CERT-Bund können Angreifer die Schwachstellen über manipulierte Projektdateien, fehlerhafte Erweiterungen oder gezielte Netzwerkpakete ausnutzen. Durch die Kombination mehrerer Lücken lässt sich ein privilegierter Zugriff auf das System erreichen, wodurch weitere Schadprogramme installiert werden können.
Potenzielle Auswirkungen
Ein erfolgreicher Angriff kann dazu führen, dass ein Angreifer Administratorrechte auf dem betroffenen Rechner erlangt, vertrauliche Daten einsehen oder verändern und kritische Dienste zum Erliegen bringen kann. Darüber hinaus besteht das Risiko, dass Schadcode über die Entwicklungsumgebung in produzierte Anwendungen eingeschleust wird.
Empfohlene GegenmaĂźnahmen
Der CERT-Bund rät betroffenen Unternehmen und Entwicklern, die neuesten Sicherheitspatches von Microsoft unverzüglich zu installieren. Zusätzlich sollten nicht signierte Erweiterungen deaktiviert und die Integrität von Projektdateien geprüft werden. Für Systeme, die noch keine Updates erhalten haben, wird empfohlen, vorübergehend auf alternative Entwicklungsumgebungen auszuweichen.
Veröffentlichungszeitraum und weitere Schritte
Die Sicherheitsberatung wurde am 12. Juli 2026 veröffentlicht. Microsoft hat bereits angekündigt, in den kommenden Wochen weitere Details zu den einzelnen Schwachstellen zu veröffentlichen. Der CERT-Bund wird die Situation weiterhin beobachten und bei Bedarf weitere Hinweise bereitstellen.
Ausblick
Angesichts der breiten Nutzung der betroffenen Produkte wird erwartet, dass zahlreiche Organisationen ihre Systeme prüfen und aktualisieren. Die enge Zusammenarbeit zwischen Hersteller und CERT-Bund soll künftig die Entdeckung und Behebung ähnlicher Sicherheitslücken beschleunigen.
Dieser Bericht basiert auf Informationen von CERT-Bund, lizenziert unter Amtliches Werk gem. § 5 UrhG (Deutschland).
Ende der Uebertragung