BE-2021-0015: Use of uninitialized memory in MicroStation and MicroStation-based applications
ID Bentley: BE-2021-0015
ID CVE: CVE-2021-46617, CVE-2021-46631
Gravità: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data di pubblicazione: 07-12-2021
Data di revisione: 07-12-2021
Riepilogo
MicroStation e le applicazioni basate su MicroStation possono essere interessate da vulnerabilità di memoria non inizializzata al momento dell'apertura di file TIF creati in modo dannoso. Lo sfruttamento di queste vulnerabilità potrebbe portare all'esecuzione di codice.
Dettagli
Le seguenti vulnerabilità relative a questo avviso sono state scoperte da ZDI di Trend Micro: ZDI-CAN-15411, ZDI-CAN-15461. L'utilizzo di una versione interessata di MicroStation o di un'applicazione basata su MicroStation per aprire un file TIF contenente dati creati in modo dannoso può forzare una vulnerabilità di memoria non inizializzata. Lo sfruttamento di questa vulnerabilità nell'ambito dell'analisi dei file TIF potrebbe consentire a un attaccante di eseguire codice nel contesto del processo corrente.
Affected Versions
| Applications | Affected Versions | Mitigated Versions |
| MicroStation | Versions prior to 10.16.02.* | 10.16.02.* and more recent |
| Bentley View | Versions prior to 10.16.02.* | 10.16.02.* and more recent |
Mitigazioni consigliate
Bentley consiglia di aggiornare alle ultime versioni di MicroStation e delle applicazioni basate su MicroStation. Si raccomanda inoltre di aprire solo i file TIF provenienti da fonti affidabili.
Riconoscimento
Si ringrazia Mat Powell di Zero Day Initiative di Trend Micro per aver scoperto questa vulnerabilità.
Revision History
| Date | Descrizione |
| 07-12-2021 | Prima versione dell'avviso |
| 04-02-2022 | Adding the CVE numbers provided by ZDI |
