BE-2022-0018: luki w zabezpieczeniach dotyczące analizowania plików XMT poza zakresem i przepełnienia stosu w MicroStation i aplikacjach opartych na MicroStation
Identyfikator Bentley: BE-2022-0018
Identyfikator CVE: CVE-2022-42901
Poziom ważności: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data publikacji: 12-10-2022
Data zmiany: 10-12-2022
Podsumowanie
Podczas otwierania złośliwie spreparowanych plików XMT mogą występować luki w zabezpieczeniach MicroStation i aplikacjach opartych na MicroStation związane z odczytem poza zakresem i przepełnieniem stosu. Wykorzystanie tych luk może doprowadzić do ujawnienia informacji i wykonania kodu.
Szczegóły
Użycie zagrożonej wersji systemu MicroStation lub aplikacji opartej na MicroStation do otwarcia pliku XMT zawierającego złośliwie spreparowane dane może wymusić odczyt poza zakresem lub wymusić wykonanie dowolnego kodu. Wykorzystanie tych luk podczas analizowania plików XMT może umożliwić atakującemu wykonanie dowolnego kodu w kontekście bieżącego procesu.
Wersje, których dotyczy problem
Aplikacje | Wersje, których dotyczy problem | Wersje zabezpieczone |
MicroStation | 10.17.0.* i wcześniejsze wersje | 10.17.01.58* i nowsze |
Bentley View | 10.17.0.* i wcześniejsze wersje | 10.17.01.19 i nowsze |
Zalecane środki zaradcze
Firma Bentley zaleca aktualizację do najnowszych wersji systemu MicroStation i aplikacji opartych na MicroStation. Jako ogólną najlepszą praktykę zaleca się również otwieranie plików XMT pochodzących wyłącznie z zaufanych źródeł.
Podziękowania
Podziękowania dla xina1i za wykrycie tych luk.
Historia zmian
Data | Opis |
12-10-2022 | Pierwsza wersja poradnika |
13-10-2022 | Dodanie numeru CVE |