Wszystkie poradniki / BE-2021-0015

BE-2021-0015

BE-2021-0015: wykorzystanie niezainicjowanej pamięci w MicroStation i aplikacjach opartych na MicroStation

Identyfikator Bentley: BE-2021-0015
Identyfikator CVE: CVE-2021-46617, CVE-2021-46631
Poziom ważności: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data publikacji: 07-12-2021
Data zmiany: 07-12-2021

Podsumowanie
Luki w zabezpieczeniach dotyczące wykorzystania niezainicjowanej pamięci podczas otwierania złośliwie spreparowanych plików TIF mogą mieć wpływ na MicroStation i aplikacje oparte na MicroStation. Wykorzystanie tych luk może doprowadzić do wykonania kodu.

Szczegóły
Grupa TrendMicro ZDI wykryła następujące luki w zabezpieczeniach związane z tym poradnikiem: ZDI-CAN-15411, ZDI-CAN-15461. Użycie zainfekowanej wersji programu MicroStation lub aplikacji opartej na MicroStation w celu otwarcia pliku TIF zawierającego złośliwie spreparowane dane może wywołać lukę w zabezpieczeniach dotyczącą wykorzystania niezainicjowanej pamięci. Wykorzystanie tych luk podczas analizowania plików TIF może umożliwić atakującemu uruchomienie dowolnego kodu w kontekście bieżącego procesu.

Wersje, których dotyczy problem

Aplikacje Wersje, których dotyczy problem Wersje zabezpieczone
MicroStation Wersje wcześniejsze niż 10.16.02.* 10.16.02.* i nowsze
Bentley View Wersje wcześniejsze niż 10.16.02.* 10.16.02.* i nowsze

 

Zalecane środki zaradcze
Firma Bentley zaleca aktualizację do najnowszych wersji systemu MicroStation i aplikacji opartych na MicroStation. Jako ogólną najlepszą praktykę zaleca się również otwieranie plików TIF pochodzących wyłącznie z zaufanych źródeł.

Podziękowania
Podziękowania dla Mata Powella z Trend Micro Zero Day Initiative za wykrycie tych luk.

Historia zmian

Data Opis
07-12-2021 Pierwsza wersja poradnika
04-02-2022 Dodanie numerów CVE dostarczonych przez ZDI

20% rabatu na oprogramowanie Bentley

Oferta kończy się w piątek

Użyj kodu „THANKS24“

Świętuj z nami wybitne osiągnięcia w dziedzinie realizacji i wydajności infrastruktury

Konferencja Year in Infrastructure i konkurs Going Digital Awards 2024

Zgłoś projekt do najbardziej prestiżowego konkursu w dziedzinie infrastruktury! Przedłużony termin nadsyłania zgłoszeń upływa 29 kwietnia.