BE-2022-0007: JP2 File Parsing Out-of-bounds Write in MicroStation and MicroStation-based applications
ID Bentley: BE-2022-0007
ID CVE: CVE-2022-28300
Gravità: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data di pubblicazione: 05-04-2022
Data di revisione: 05-04-2022
Riepilogo
MicroStation e le applicazioni basate su MicroStation possono essere interessate da vulnerabilità di scrittura fuori dai limiti consentiti al momento dell'apertura di file JP2 creati in modo dannoso. Lo sfruttamento di queste vulnerabilità potrebbe portare all'esecuzione di codice.
Dettagli
La seguente vulnerabilità relativa a questo avviso è stata scoperta da ZDI di Trend Micro: ZDI-CAN-16202. L'utilizzo di una versione interessata di MicroStation o di un'applicazione basata su MicroStation per aprire un file JP2 contenente dati creati in modo dannoso può forzare una scrittura fuori dai limiti consentiti. Lo sfruttamento di questa vulnerabilità nell'ambito dell'analisi dei file JP2 potrebbe consentire a un attaccante di eseguire codice nel contesto del processo corrente.
Affected Versions
| Applications | Affected Versions | Mitigated Versions |
| MicroStation | 10.16.02.* e versioni precedenti | 10.16.03.* and more recent |
| Bentley View | 10.16.02.* e versioni precedenti | 10.16.03.* and more recent |
Mitigazioni consigliate
Bentley consiglia di aggiornare alle ultime versioni di MicroStation e delle applicazioni basate su MicroStation. Si raccomanda inoltre di aprire solo i file JP2 provenienti da fonti affidabili.
Riconoscimento
Si ringrazia Anonymous in collaborazione con Zero Day Initiative di Trend Micro per aver trovato questa vulnerabilità.
Revision History
| Date | Descrizione |
| 05-04-2022 | Prima versione dell'avviso |
