BE-2022-0002: 3DM File Parsing Uninitialized Variable in MicroStation and MicroStation-based applications
Identyfikator Bentley: BE-2022-0002
Identyfikator CVE: CVE-2022-28320, CVE-2022-28319
Poziom ważności: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data publikacji: 05-04-2022
Data zmiany: 05-04-2022
Podsumowanie
W aplikacjach MicroStation i opartych na MicroStation mogą występować luki związane z przetwarzaniem plików z niezainicjowanymi zmiennymi podczas otwierania złośliwie spreparowanych plików 3DM. Wykorzystanie tych luk może doprowadzić do wykonania dowolnego kodu.
Szczegóły
Grupa TrendMicro ZDI wykryła następujące luki w zabezpieczeniach związane z tym poradnikiem: ZDI-CAN-16282 and ZDI-CAN-16340. Użycie zainfekowanej wersji MicroStation lub aplikacji opartej na MicroStation do otwarcia pliku 3DM zawierającego złośliwie spreparowane dane może spowodować wykonanie dowolnego kodu. Wykorzystanie tych luk podczas analizowania plików 3DM może umożliwić atakującemu wykonanie dowolnego kodu w kontekście bieżącego procesu.
Wersje, których dotyczy problem
| Aplikacje | Wersje, których dotyczy problem | Wersje zabezpieczone |
| MicroStation | 10.16.02.* i wersje wcześniejsze | 10.16.03.* i nowsze |
| Bentley View | 10.16.02.* i wersje wcześniejsze | 10.16.03.* i nowsze |
Zalecane środki zaradcze
Firma Bentley zaleca aktualizację do najnowszych wersji systemu MicroStation i aplikacji opartych na MicroStation. Jako ogólną najlepszą praktykę zaleca się również otwieranie plików 3DM pochodzących wyłącznie z zaufanych źródeł.
Podziękowania
Podziękowania dla Mata Powella z Trend Micro Zero Day Initiative za wykrycie tych luk.
Historia zmian
| Data | Opis |
| 05-04-2022 | Pierwsza wersja poradnika |
