BE-2021-0002: Out-of-bounds vulnerabilities in MicroStation and MicroStation-based applications

ID Bentley: BE-2021-0002
ID CVE: CVE-2021-34871, CVE-2021-34893, CVE-2021-34896, CVE-2021-34903, CVE-2021-34907, CVE-2021-46605, CVE-2021-46606, CVE-2021-46615, CVE-2021-46616, CVE-2021-46628, CVE-2021-46629, CVE-2021-46645, CVE-2021-46647, CVE-2021-46653
Gravità: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data di pubblicazione: 07/12/2021
Data di revisione: 07/12/2021

Riepilogo
MicroStation e le applicazioni basate su MicroStation possono essere interessate da vulnerabilità fuori dai limiti consentiti al momento dell'apertura di file BMP creati in modo dannoso. Lo sfruttamento di queste vulnerabilità potrebbe portare all'esecuzione di codice.

Dettagli
Le seguenti vulnerabilità relative a questo avviso sono state scoperte da ZDI di Trend Micro: ZDI-CAN-14695, ZDI-CAN-14846, ZDI-CAN-14863, ZDI-CAN-14876, ZDI-CAN-14880, ZDI-CAN-15399, ZDI-CAN-15400, ZDI-CAN-15409, ZDI-CAN-15410, ZDI-CAN-15458, ZDI-CAN-15459, ZDI-CAN-15531, ZDI-CAN-15533, ZDI-CAN-15539. L'utilizzo di una versione interessata di MicroStation o di un'applicazione basata su MicroStation per aprire un file BMP contenente dati creati in modo dannoso può forzare una lettura o una scrittura fuori dai limiti consentiti. Lo sfruttamento di queste vulnerabilità nell'ambito dell'analisi dei file BMP potrebbe consentire a un attaccante di eseguire codice nel contesto del processo corrente.

Affected Versions

Mitigazioni consigliate
Bentley consiglia di aggiornare alle ultime versioni di MicroStation e delle applicazioni basate su MicroStation. Si raccomanda inoltre di aprire solo i file BMP provenienti da fonti affidabili.

Ringraziamenti
Si ringrazia Francis Provencher {PRL} per aver scoperto ZDI-CAN-14695. Si ringrazia Mat Powell di Zero Day Initiative di Trend Micro per aver scoperto questa vulnerabilità.

Revision History