-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in Microsoft Office Advisory ID : NCSC-2025-0250 Versie : 1.00 Kans : medium CVE ID : CVE-2025-49712, CVE-2025-53730, CVE-2025-53731, CVE-2025-53732, CVE-2025-53733, CVE-2025-53734, CVE-2025-53735, CVE-2025-53736, CVE-2025-53737, CVE-2025-53738, CVE-2025-53739, CVE-2025-53740, CVE-2025-53741, CVE-2025-53759, CVE-2025-53760, CVE-2025-53761, CVE-2025-53766, CVE-2025-53783, CVE-2025-53784 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : medium Buffer Over-read Use of Uninitialized Resource Access of Resource Using Incompatible Type ('Type Confusion') Use After Free Deserialization of Untrusted Data Server-Side Request Forgery (SSRF) Heap-based Buffer Overflow Incorrect Conversion between Numeric Types Uitgiftedatum : 20250813 Toepassing : Microsoft 365 Apps Microsoft Excel Microsoft Microsoft 365 Apps for Enterprise Microsoft Microsoft 365 Apps for Enterprise for 32-bit Systems Microsoft Microsoft 365 Apps for Enterprise for 64-bit Systems Microsoft Microsoft Excel 2016 Microsoft Microsoft Excel 2016 (32-bit edition) Microsoft Microsoft Excel 2016 (64-bit edition) Microsoft Microsoft Office 2016 Microsoft Microsoft Office 2016 (32-bit edition) Microsoft Microsoft Office 2016 (64-bit edition) Microsoft Microsoft Office 2019 Microsoft Microsoft Office 2019 for 32-bit editions Microsoft Microsoft Office 2019 for 64-bit editions Microsoft Microsoft Office LTSC 2021 Microsoft Microsoft Office LTSC 2021 for 32-bit editions Microsoft Microsoft Office LTSC 2021 for 64-bit editions Microsoft Microsoft Office LTSC 2024 Microsoft Microsoft Office LTSC 2024 for 32-bit editions Microsoft Microsoft Office LTSC 2024 for 64-bit editions Microsoft Microsoft Office LTSC for Mac 2021 Versie(s) : Platform(s) : Beschrijving Microsoft heeft kwetsbaarheden verholpen in Microsoft Office (inclusief SharePoint, Visio, Word, Excel en PowerPoint). De kwetsbaarheden in Microsoft Office omvatten verschillende 'use after free'-fouten, heap-gebaseerde bufferoverflows en andere kwetsbaarheden die ongeautoriseerde aanvallers in staat stellen om willekeurige code uit te voeren op lokale machines. Deze kwetsbaarheden kunnen worden geƫxploiteerd via speciaal vervaardigde documenten of door misbruik van onbetrouwbare gegevens, wat kan leiden tot ongeautoriseerde toegang en controle over systemen. ``` Microsoft Teams: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2025-53783 | 7.50 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| Microsoft Office PowerPoint: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2025-53761 | 7.80 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| Windows GDI+: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2025-53766 | 9.80 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| Microsoft Office Word: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2025-53733 | 8.40 | Uitvoeren van willekeurige code | | CVE-2025-53736 | 6.80 | Toegang tot gevoelige gegevens | | CVE-2025-53738 | 7.80 | Uitvoeren van willekeurige code | | CVE-2025-53784 | 8.40 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| Microsoft Office Visio: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2025-53730 | 7.80 | Uitvoeren van willekeurige code | | CVE-2025-53734 | 7.80 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| Microsoft Office: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2025-53731 | 8.40 | Uitvoeren van willekeurige code | | CVE-2025-53732 | 7.80 | Uitvoeren van willekeurige code | | CVE-2025-53740 | 8.40 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| Microsoft Office SharePoint: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2025-53760 | 7.10 | Verkrijgen van verhoogde rechten | | CVE-2025-49712 | 8.80 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| Microsoft Office Excel: |----------------|------|-------------------------------------| | CVE-ID | CVSS | Impact | |----------------|------|-------------------------------------| | CVE-2025-53741 | 7.80 | Uitvoeren van willekeurige code | | CVE-2025-53759 | 7.80 | Uitvoeren van willekeurige code | | CVE-2025-53735 | 7.80 | Uitvoeren van willekeurige code | | CVE-2025-53737 | 7.80 | Uitvoeren van willekeurige code | | CVE-2025-53739 | 7.80 | Uitvoeren van willekeurige code | |----------------|------|-------------------------------------| ``` Mogelijke oplossingen Microsoft heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://msrc.microsoft.com/update-guide/en-us Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEj9lz1UkzuNhtLOX5ytTOqyR+cF8FAmicPakACgkQytTOqyR+ cF8rHwv/WqBJOv2SC8v1y26XlmAN5m8FrMsiLGNmvHTVk9LTMGWX+biLOWSE/UAv 6oqQIaCKGV2UJJ5hBkz+VQvUseaHBnwCcYb/B5bBdc0kk1DfDkr5hW8bEDiyeDtv 4HZg3wdOofG8V/ejb7CR0mqN5Cui2AjnJraIlhUsjNJgx0fFHQlw3bkHeQRiTjg9 9/gDSDj9VMhp99SRhbZxdHbGrSE3JAoW52HyWlYdLdkmfoBkhAQ5zmwkb5yKxX09 bfDNA21Frthez/A3kdqgzt1eBIKd7nIU0jfU5p25BCiAW470gaoLKM99SBsr47C6 m8Um3flaD9iF5aAj6Chv0BX5DlQCwl/tGdmX958dvUMOc+QyIRTGRS+7a+N5KOCH 31bpn25sNSn6XIIN9DdinIvEJretmCLEdBSkMdRHiKzs3YyJqjbfm85pjEbF1HG8 cM3B/mk5MDHVYNm/EnkYp3SbV9XMB6Zj9J7gqHV+nNOM3eKc8fCJO6iDCGTre0xU CLk11Y6A =c2+E -----END PGP SIGNATURE-----