BE-2022-0007: parsowanie plików JP2 poza zakresem zapisu w MicroStation i aplikacjach opartych na MicroStation
Identyfikator Bentley: BE-2022-0007
Identyfikator CVE: CVE-2022-28300
Poziom ważności: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data publikacji: 05-04-2022
Data zmiany: 04-05-2022
Podsumowanie
MicroStation i aplikacje oparte na MicroStation mogą być dotknięte luką w zabezpieczeniach dotyczącą zapisu poza zakresem podczas otwierania złośliwie spreparowanych plików JP2. Wykorzystanie tych luk może doprowadzić do wykonania kodu.
Szczegóły
Grupa TrendMicro ZDI wykryła następujące luki w zabezpieczeniach związane z tym poradnikiem: ZDI-CAN-16202. Użycie zainfekowanej wersji programu MicroStation lub aplikacji opartej na MicroStation do otwarcia pliku JP2 zawierającego złośliwe dane może wymusić zapis poza zakresem. Wykorzystanie tych luk podczas analizowania plików JP2 może umożliwić atakującemu uruchomienie dowolnego kodu w kontekście bieżącego procesu.
Wersje, których dotyczy problem
| Aplikacje | Wersje, których dotyczy problem | Wersje zabezpieczone |
| MicroStation | 10.16.02.* i wersje wcześniejsze | 10.16.03.* i nowsze |
| Bentley View | 10.16.02.* i wersje wcześniejsze | 10.16.03.* i nowsze |
Zalecane środki zaradcze
Firma Bentley zaleca aktualizację do najnowszych wersji systemu MicroStation i aplikacji opartych na MicroStation. Jako ogólną najlepszą praktykę zaleca się również otwieranie plików JP2 pochodzących wyłącznie z zaufanych źródeł.
Podziękowania
Dziękujemy grupie Anonymous, we współpracy z Trend Micro Zero Day Initiative, za wykrycie tej luki.
Historia zmian
| Data | Opis |
| 05-04-2022 | Pierwsza wersja poradnika |
