WID-SEC-W-2025-0335

Vulnerability from csaf_certbund - Published: 2025-02-11 23:00 - Updated: 2025-02-11 23:00
Summary
Microsoft Apps (Outlook und PC Manager): Mehrere Schwachstellen
Severity
Mittel
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung: Microsoft bietet in der Apps-Produktfamilie zahlreiche Anwendungen für mobile Endgeräte an.
Angriff: Ein Angreifer kann mehrere Schwachstellen in Microsoft Apps ausnutzen, um falsche Daten anzuzeigen und SYSTEM-Rechte zu erlangen.
Betroffene Betriebssysteme: - Android - Windows
CVE-2025-21259

In Microsoft Apps besteht eine Schwachstelle. Der Fehler ist auf eine fehlerhafte UI-Bearbeitung von Absenderinformationen zurückzuführen, die es einer Nachricht ermöglicht, die E-Mail-Adresse des Absenders einer anderen Nachricht im Junk-Ordner zu übernehmen. Dies kann den Empfänger über den wahren Absender täuschen. Ein anonymer Angreifer kann diese Schwachstelle ausnutzen, um einen Spoofing-Angriff durch falsche Darstellung der Identität des Absenders durchzuführen.

CVE-2025-21322

In Microsoft PC Manager besteht eine Sicherheitslücke, die derzeit noch nicht im Detail bekannt gegeben wurde. Ein lokaler Angreifer kann diese Lücke ausnutzen, um SYSTEM-Rechte zu erlangen.

References
To clipboard 

{
  "document": {
    "aggregate_severity": {
      "text": "mittel"
    },
    "category": "csaf_base",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE",
        "url": "https://www.first.org/tlp/"
      }
    },
    "lang": "de-DE",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
      },
      {
        "category": "description",
        "text": "Microsoft bietet in der Apps-Produktfamilie zahlreiche Anwendungen  f\u00fcr mobile Endger\u00e4te an.",
        "title": "Produktbeschreibung"
      },
      {
        "category": "summary",
        "text": "Ein Angreifer kann mehrere Schwachstellen in Microsoft Apps ausnutzen, um falsche Daten anzuzeigen und SYSTEM-Rechte zu erlangen.",
        "title": "Angriff"
      },
      {
        "category": "general",
        "text": "- Android\n- Windows",
        "title": "Betroffene Betriebssysteme"
      }
    ],
    "publisher": {
      "category": "other",
      "contact_details": "csaf-provider@cert-bund.de",
      "name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
      "namespace": "https://www.bsi.bund.de"
    },
    "references": [
      {
        "category": "self",
        "summary": "WID-SEC-W-2025-0335 - CSAF Version",
        "url": "https://wid.cert-bund.de/.well-known/csaf/white/2025/wid-sec-w-2025-0335.json"
      },
      {
        "category": "self",
        "summary": "WID-SEC-2025-0335 - Portal Version",
        "url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-0335"
      },
      {
        "category": "external",
        "summary": "Microsoft Leitfaden f\u00fcr Sicherheitsupdates",
        "url": "https://msrc.microsoft.com/update-guide/"
      }
    ],
    "source_lang": "en-US",
    "title": "Microsoft Apps (Outlook und PC Manager): Mehrere Schwachstellen",
    "tracking": {
      "current_release_date": "2025-02-11T23:00:00.000+00:00",
      "generator": {
        "date": "2025-02-12T09:06:33.378+00:00",
        "engine": {
          "name": "BSI-WID",
          "version": "1.3.10"
        }
      },
      "id": "WID-SEC-W-2025-0335",
      "initial_release_date": "2025-02-11T23:00:00.000+00:00",
      "revision_history": [
        {
          "date": "2025-02-11T23:00:00.000+00:00",
          "number": "1",
          "summary": "Initiale Fassung"
        }
      ],
      "status": "final",
      "version": "1"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "branches": [
              {
                "category": "product_version",
                "name": "PC Manager",
                "product": {
                  "name": "Microsoft Apps PC Manager",
                  "product_id": "T041029",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:microsoft:apps:pc_manager"
                  }
                }
              },
              {
                "category": "product_version",
                "name": "Outlook for Android",
                "product": {
                  "name": "Microsoft Apps Outlook for Android",
                  "product_id": "T041030",
                  "product_identification_helper": {
                    "cpe": "cpe:/a:microsoft:apps:outlook_for_android"
                  }
                }
              }
            ],
            "category": "product_name",
            "name": "Apps"
          }
        ],
        "category": "vendor",
        "name": "Microsoft"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2025-21259",
      "notes": [
        {
          "category": "description",
          "text": "In Microsoft Apps besteht eine Schwachstelle. Der Fehler ist auf eine fehlerhafte UI-Bearbeitung von Absenderinformationen zur\u00fcckzuf\u00fchren, die es einer Nachricht erm\u00f6glicht, die E-Mail-Adresse des Absenders einer anderen Nachricht im Junk-Ordner zu \u00fcbernehmen. Dies kann den Empf\u00e4nger \u00fcber den wahren Absender t\u00e4uschen. Ein anonymer Angreifer kann diese Schwachstelle ausnutzen, um einen Spoofing-Angriff durch falsche Darstellung der Identit\u00e4t des Absenders durchzuf\u00fchren."
        }
      ],
      "product_status": {
        "known_affected": [
          "T041030"
        ]
      },
      "release_date": "2025-02-11T23:00:00.000+00:00",
      "title": "CVE-2025-21259"
    },
    {
      "cve": "CVE-2025-21322",
      "notes": [
        {
          "category": "description",
          "text": "In Microsoft PC Manager besteht eine Sicherheitsl\u00fccke, die derzeit noch nicht im Detail bekannt gegeben wurde. Ein lokaler Angreifer kann diese L\u00fccke ausnutzen, um SYSTEM-Rechte zu erlangen."
        }
      ],
      "product_status": {
        "known_affected": [
          "T041029"
        ]
      },
      "release_date": "2025-02-11T23:00:00.000+00:00",
      "title": "CVE-2025-21322"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.