BE-2021-0010: Luki w zabezpieczeniach dotyczące odczytu poza zakresem w MicroStation i aplikacjach opartych na MicroStation
Identyfikator Bentley:BE-2021-0010
Identyfikator CVE: CVE-2021-34902, CVE-2021-34916, CVE-2021-46593, CVE-2021-46594, CVE-2021-46608, CVE-2021-46624 Poziom ważności: 3.3
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data publikacji: 07-12-2021
Data zmiany: 07-12-2021
Podsumowanie
MicroStation i aplikacje oparte na MicroStation mogą być dotknięte luką w zabezpieczeniach dotyczącą operacji poza zakresem podczas otwierania złośliwie spreparowanych plików DWG. Wykorzystanie tych luk może doprowadzić do wykonania kodu.
Szczegóły
Grupa TrendMicro ZDI wykryła następujące luki w zabezpieczeniach związane z tym poradnikiem: ZDI-CAN-14875, ZDI-CAN-14894, ZDI-CAN-15387, ZDI-CAN-15388, ZDI-CAN-15402, ZDI-CAN-15454. Użycie zainfekowanej wersji programu MicroStation lub aplikacji opartej na MicroStation do otwarcia pliku DWG zawierającego złośliwe dane może wymusić odczyt poza zakresem. Wykorzystanie tych luk podczas analizowania plików DWG może umożliwić atakującemu wykonanie dowolnego kodu w kontekście bieżącego procesu.
Wersje, których dotyczy problem
Aplikacje | Wersje, których dotyczy problem | Wersje zabezpieczone |
MicroStation | Wersje wcześniejsze niż 10.16.02.* | 10.16.02.* i nowsze |
Bentley View | Wersje wcześniejsze niż 10.16.02.* | 10.16.02.* i nowsze |
Zalecane środki zaradcze
Firma Bentley zaleca aktualizację do najnowszych wersji systemu MicroStation i aplikacji opartych na MicroStation. Jako ogólną najlepszą praktykę zaleca się również otwieranie plików DWG pochodzących wyłącznie z zaufanych źródeł.
Podziękowania
Podziękowania dla Mata Powella z Trend Micro Zero Day Initiative za wykrycie tych luk.
Historia zmian
Data | Opis |
07-12-2021 | Pierwsza wersja poradnika |
04-02-2022 | Dodanie nowych numerów CVE dostarczonych przez ZDI |