BE-2022-0003: parsowanie plików 3DS poza zakresem odczytu w MicroStation i aplikacjach opartych na MicroStation
Identyfikator Bentley: BE-2022-0003
Identyfikator CVE: CVE-2022-28308, CVE-2022-28309, CVE-2022-28312, CVE-2022-28313
Poziom ważności: 3.3
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data publikacji 05-04-2022
Data zmiany: 05-04-2022
Podsumowanie
MicroStation i aplikacje oparte na MicroStation mogą być dotknięte luką w zabezpieczeniach dotyczącą odczytu poza zakresem podczas otwierania złośliwie spreparowanych plików 3DS. Wykorzystanie tych luk może prowadzić do ujawnienia informacji.
Szczegóły
Grupa TrendMicro ZDI wykryła następujące luki w zabezpieczeniach związane z tym poradnikiem: ZDI: ZDI-CAN-16307, ZDI-CAN-16308, ZDI-CAN-16342 and ZDI-CAN-16343. Użycie zainfekowanej wersji programu MicroStation lub aplikacji opartej na MicroStation do otwarcia pliku 3DS zawierającego złośliwe dane może wymusić odczyt poza zakresem. Wykorzystanie tych podatności podczas analizy plików 3DS może umożliwić ujawnienie informacji w kontekście bieżącego procesu.
Wersje, których dotyczy problem
| Aplikacje | Wersje, których dotyczy problem | Wersje zabezpieczone |
| MicroStation | 10.16.02.* i wersje wcześniejsze | 10.16.03.* i nowsze |
| Bentley View | 10.16.02.* i wersje wcześniejsze | 10.16.03.* i nowsze |
Zalecane środki zaradcze
Firma Bentley zaleca aktualizację do najnowszych wersji systemu MicroStation i aplikacji opartych na MicroStation. Jako ogólną najlepszą praktykę zaleca się również otwieranie plików 3DS pochodzących wyłącznie z zaufanych źródeł.
Podziękowania
Podziękowania dla Mata Powella z Trend Micro Zero Day Initiative za wykrycie tych luk.
Historia zmian
| Data | Opis |
| 05-04-2022 | Pierwsza wersja poradnika |
