BE-2021-0014: Use-after-free vulnerability in MicroStation and MicroStation-based applications
ID Bentley: BE-2021-0014
ID CVE: CVE-2021-34872
Gravità: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data di pubblicazione: 07-12-2021
Data di revisione: 07-12-2021
Riepilogo
MicroStation e le applicazioni basate su MicroStation possono essere interessate da vulnerabilità "use-after-free" al momento dell'apertura di file SKP creati in modo dannoso. Lo sfruttamento di questa vulnerabilità potrebbe portare all'esecuzione di codice.
Dettagli
La seguente vulnerabilità relativa a questo avviso è stata scoperta da ZDI di Trend Micro: ZDI-CAN-14737. L'utilizzo di una versione interessata di MicroStation o di un'applicazione basata su MicroStation per aprire un file SKP contenente dati creati in modo dannoso può forzare una vulnerabilità "use-after-free". Lo sfruttamento di questa vulnerabilità nell'ambito dell'analisi dei file SKP potrebbe consentire a un attaccante di eseguire codice nel contesto del processo corrente.
Affected Versions
| Applications | Affected Versions | Mitigated Versions |
| MicroStation | Versions prior to 10.16.02.* | 10.16.02.* and more recent |
| Bentley View | Versions prior to 10.16.02.* | 10.16.02.* and more recent |
Mitigazioni consigliate
Bentley consiglia di aggiornare alle ultime versioni di MicroStation e delle applicazioni basate su MicroStation. Si raccomanda inoltre di aprire solo i file SKP provenienti da fonti affidabili.
Riconoscimento
Si ringrazia Francis Provencher {PRL} per aver scoperto questa vulnerabilità.
Revision History
| Date | Descrizione |
| 07-12-2021 | Prima versione dell'avviso |
