Tutti gli avvisi / BE-2021-0004

BE-2021-0004

BE-2021-0004: Out-of-bounds and use-after-free vulnerabilities in MicroStation and MicroStation-based applications

ID Bentley: BE-2021-0004
ID CVE: CVE-2021-34874, CVE-2021-34875, CVE-2021-34880, CVE-2021-34889, CVE-2021-34894, CVE-2021-34895, CVE-2021-34901, CVE-2021-34911, CVE-2021-46575, CVE-2021-46586, CVE-2021-46587, CVE-2021-46592, CVE-2021-46595, CVE-2021-46602, CVE-2021-46607, CVE-2021-46623
Gravità: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data di pubblicazione: 07/12/2021
Data di revisione: 07/12/2021

Riepilogo
MicroStation e le applicazioni basate su MicroStation possono essere interessate da vulnerabilità fuori dai limiti consentiti o "use-after-free" al momento dell'apertura di file 3DS creati in modo dannoso. Lo sfruttamento di queste vulnerabilità potrebbe portare all'esecuzione di codice.

Dettagli
Le seguenti vulnerabilità relative a questo avviso sono state scoperte da ZDI di Trend Micro: ZDI-CAN-14736, ZDI-CAN-14827, ZDI-CAN-14833, ZDI-CAN-14842, ZDI-CAN-14847, ZDI-CAN-14862, ZDI-CAN-14874, ZDI-CAN-14884, ZDI-CAN-15369, ZDI-CAN-15380, ZDI-CAN-15381, ZDI-CAN-15386, ZDI-CAN-15389, ZDI-CAN-15396, ZDI-CAN-15401, ZDI-CAN-15453. L'utilizzo di una versione interessata di MicroStation o di un'applicazione basata su MicroStation per aprire un file 3DS contenente dati creati in modo dannoso può forzare una vulnerabilità fuori dai limiti consentiti o use-after-free. Lo sfruttamento di queste vulnerabilità nell'ambito dell'analisi dei file 3DS potrebbe consentire a un attaccante di eseguire codice nel contesto del processo corrente.

Affected Versions

Applications Affected Versions Mitigated Versions
MicroStation Versions prior to 10.16.02.* 10.16.02.* and more recent
Bentley View Versions prior to 10.16.02.* 10.16.02.* and more recent

 

Mitigazioni consigliate
Bentley consiglia di aggiornare alle ultime versioni di MicroStation e delle applicazioni basate su MicroStation. Si raccomanda inoltre di aprire solo i file 3DS provenienti da fonti affidabili.

Riconoscimento
Si ringrazia Francis Provencher {PRL} per aver scoperto ZDI-CAN-14736. Si ringrazia Mat Powell di Zero Day Initiative di Trend Micro per aver scoperto il resto delle vulnerabilità relative a questo avviso.

Revision History

Date Descrizione
07-12-2021 Prima versione dell'avviso
04-02-2022 Added new CVE numbers provided by ZDI

20% di sconto sui software di Bentley

L'offerta termina venerdì

Usa il codice coupon "THANKS24"

Celebra la realizzazione di infrastrutture e l’eccellenza delle prestazioni

Year in Infrastructure e Going Digital Awards 2024

Candida un progetto per i premi più prestigiosi nel settore delle infrastrutture! La scadenza prorogata per partecipare è il 29 aprile.