Tutti gli avvisi / BE-2021-0004

BE-2021-0004

BE-2021-0004: Out-of-bounds and use-after-free vulnerabilities in MicroStation and MicroStation-based applications

ID Bentley: BE-2021-0004
ID CVE: CVE-2021-34874, CVE-2021-34875, CVE-2021-34880, CVE-2021-34889, CVE-2021-34894, CVE-2021-34895, CVE-2021-34901, CVE-2021-34911, CVE-2021-46575, CVE-2021-46586, CVE-2021-46587, CVE-2021-46592, CVE-2021-46595, CVE-2021-46602, CVE-2021-46607, CVE-2021-46623
Gravità: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data di pubblicazione: 07/12/2021
Data di revisione: 07/12/2021

Riepilogo
 MicroStation e le applicazioni basate su MicroStation possono essere interessate da vulnerabilità fuori dai limiti consentiti o "use-after-free" al momento dell'apertura di file 3DS creati in modo dannoso. Lo sfruttamento di queste vulnerabilità potrebbe portare all'esecuzione di codice.

Dettagli
Le seguenti vulnerabilità relative a questo avviso sono state scoperte da ZDI di Trend Micro: ZDI-CAN-14736, ZDI-CAN-14827, ZDI-CAN-14833, ZDI-CAN-14842, ZDI-CAN-14847, ZDI-CAN-14862, ZDI-CAN-14874, ZDI-CAN-14884, ZDI-CAN-15369, ZDI-CAN-15380, ZDI-CAN-15381, ZDI-CAN-15386, ZDI-CAN-15389, ZDI-CAN-15396, ZDI-CAN-15401, ZDI-CAN-15453. L'utilizzo di una versione interessata di MicroStation o di un'applicazione basata su MicroStation per aprire un file 3DS contenente dati creati in modo dannoso può forzare una vulnerabilità fuori dai limiti consentiti o use-after-free. Lo sfruttamento di queste vulnerabilità nell'ambito dell'analisi dei file 3DS potrebbe consentire a un attaccante di eseguire codice nel contesto del processo corrente.

Affected Versions

Applications Affected Versions Mitigated Versions
MicroStation Versions prior to 10.16.02.* 10.16.02.* and more recent
Bentley View Versions prior to 10.16.02.* 10.16.02.* and more recent

 

Mitigazioni consigliate
 Bentley consiglia di aggiornare alle ultime versioni di MicroStation e delle applicazioni basate su MicroStation. Si raccomanda inoltre di aprire solo i file 3DS provenienti da fonti affidabili.

Riconoscimento
Si ringrazia Francis Provencher {PRL} per aver scoperto ZDI-CAN-14736. Si ringrazia Mat Powell di Zero Day Initiative di Trend Micro per aver scoperto il resto delle vulnerabilità relative a questo avviso.

Revision History

Date Descrizione
07-12-2021 Prima versione dell'avviso
04-02-2022 Added new CVE numbers provided by ZDI

Ti aiutiamo a trovare la risposta giusta o l'agente giusto.

Logo nero di Bentley Systems
Esplora
Software
Licenze e abbonamenti
Il mio account/Crea profilo
Visualizza i software
Costruisci con noi
Studenti e insegnanti
Sviluppatori
Ricerca sui prodotti
Ufficio legale

Panoramica legale
Trust Center

Società
Informazioni
Opportunità di lavoro
Contattaci
Investitori
Notizie
Eventi
Blog
Year in Infrastructure
ESG
Infrastructure Yearbook
Digital Currency Newsletter
COP
Supporto
Centro assistenza
Formazione
Servizi
Community di Bentley
Investimenti
Fondo Bentley iTwin Ventures
Imprese e partner

Channel Partner e partner di formazione
Seequent, The Bentley Subsurface Company
Cohesive

Informativa sulla privacy | Condizioni d'uso | Cookie

Facebook LinkedIn YouTube Instagram
© 2024 Bentley Systems, incorporated

Celebra la realizzazione di infrastrutture e l’eccellenza delle prestazioni

Year in Infrastructure e Going Digital Awards 2024

Candida un progetto per i premi più prestigiosi nel settore delle infrastrutture! La scadenza prorogata per partecipare è il 29 aprile.

Candida un progetto