BE-2022-0015: Luki w zabezpieczeniach dotyczące parsowania plików JP2 poza zakresem odczytu w MicroStation i aplikacjach opartych na MicroStation
Identyfikator Bentley: BE-2022-0015
Identyfikator CVE: CVE-2022-35900
Poziom ważności: 3.3
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data publikacji: 13-07-2022
Data zmiany: 13-07-2022
Podsumowanie
MicroStation i aplikacje oparte na MicroStation mogą być dotknięte luką w zabezpieczeniach dotyczącą odczytu poza zakresem podczas otwierania złośliwie spreparowanych plików JP2. Wykorzystanie tych luk może prowadzić do ujawnienia informacji.
Szczegóły
Użycie zainfekowanej wersji MicroStation lub aplikacji opartej na MicroStation do otwarcia pliku JP2 zawierającego złośliwe dane może wymusić odczyt poza zakresem. Wykorzystanie tych luk podczas analizowania plików JP2 może umożliwić osobie atakującej odczytanie informacji w kontekście bieżącego procesu.
Wersje, których dotyczy problem
Aplikacje | Wersje, których dotyczy problem | Wersje zabezpieczone |
MicroStation | 10.16.* i wcześniejsze wersje | 10.17.0.* i nowsze wersje |
Bentley View | 10.16.* i wcześniejsze wersje | 10.17.0.* i nowsze wersje |
Zalecane środki zaradcze
Firma Bentley zaleca aktualizację do najnowszych wersji systemu MicroStation i aplikacji opartych na MicroStation. Jako ogólną najlepszą praktykę zaleca się również otwieranie plików JP2 pochodzących wyłącznie z zaufanych źródeł.
Podziękowania
Podziękowania dla xina1i za wykrycie tych luk.
Historia zmian
Data | Opis |
13-07-2022 | Pierwsza wersja poradnika |
18-07-2022 | Dodanie numeru CVE |