BE-2021-0003: Vulnerabilidades fora dos limites e de uso após a ausência de vulnerabilidades em aplicações baseadas em MicroStation e MicroStation

Bentley ID: BE-2021-0003
CVE ID: CVE-2021-34873, CVE-2021-34887, CVE-2021-46599, CVE-2021-46609, CVE-2021-46612, CVE-2021-46619, CVE-2021-46633
Gravidade: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data de publicação: 2021-12-07 Data de revisão: 2021-12-07

Resumo
O MicroStation e os aplicativos baseados no MicroStation podem ser afetados por vulnerabilidades de leitura fora dos limites (out-of-bounds write) ou de uso incorreto da memória dinâmica (use-after-free) após a abertura maliciosa de arquivos PDF. A exploração destas vulnerabilidades poderia levar à execução de códigos.

Detalhes
As seguintes vulnerabilidades relacionadas a este comunicado foram descobertas pela TrendMicro ZDI: ZDI-CAN-14696, ZDI-CAN-14840, ZDI-CAN-15393, ZDI-CAN-15403, ZDI-CAN-15406, ZDI-CAN-15413, ZDI-CAN-15463. O uso de uma versão afetada do aplicativo MicroStation ou baseado no MicroStation para abrir um arquivo PDF contendo dados criados maliciosamente, pode desencadear uma vulnerabilidade de leitura fora dos limites (out-of-bounds write) ou de uso incorreto da memória dinâmica (use-after-free). A exploração destas vulnerabilidades dentro da análise dos arquivos PDF poderia permitir que um invasor executasse um código arbitrário no contexto do processo atual.

Versões afetadas

Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e dos aplicativos baseados no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos PDF provenientes de fontes confiáveis.

Reconhecimento
Obrigado a Francis Provencher {PRL} por ter descoberto o ZDI-CAN-14696. Obrigado a Mat Powell da Trend Micro Zero Day Initiative por descobrir o resto das vulnerabilidades relacionadas a esta assessoria.

Histórico de revisão