Todos os avisos / BE-2021-0004

BE-2021-0004

BE-2021-0004: Vulnerabilidades fora dos limites e de uso após a ausência de vulnerabilidades em aplicações baseadas em MicroStation e MicroStation

Bentley ID: BE-2021-0004
CVE ID: CVE-2021-34874, CVE-2021-34875, CVE-2021-34880, CVE-2021-34889, CVE-2021-34894, CVE-2021-34895, CVE-2021-34901, CVE-2021-34911, CVE-2021-46575, CVE-2021-46586, CVE-2021-46587, CVE-2021-46592, CVE-2021-46595, CVE-2021-46602, CVE-2021-46607, CVE-2021-46623
Gravidade: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data de publicação: 2021-12-07
Data de revisão: 2021-12-07

Resumo
O MicroStation e os aplicativos baseados no MicroStation podem ser afetados por vulnerabilidades de leitura fora dos limites (out-of-bounds write) e de uso incorreto da memória dinâmica (use-after-free) ao abrir arquivos 3DS criados com códigos maliciosos. A exploração destas vulnerabilidades poderia levar à execução de códigos.

Detalhes
As seguintes vulnerabilidades relacionadas a este comunicado foram descobertas pelo TrendMicro ZDI: ZDI-CAN-14736, ZDI-CAN-14827, ZDI-CAN-14833, ZDI-CAN-14842, ZDI-CAN-14847, ZDI-CAN-14862, ZDI-CAN-14874, ZDI-CAN-14884, ZDI-CAN-15369, ZDI-CAN-15380, ZDI-CAN-15381, ZDI-CAN-15386, ZDI-CAN-15389, ZDI-CAN-15396, ZDI-CAN-15401, ZDI-CAN-15453. O uso de uma versão afetada do MicroStation ou aplicativo baseado no MicroStation para abrir um arquivo 3DS contendo dados criados maliciosamente pode desencadear vulnerabilidade de leitura fora dos limites (out-of-bounds write) ou de uso incorreto da memória dinâmica (use-after-free). A exploração destas vulnerabilidades dentro da análise dos arquivos 3DS poderia permitir que um invasor executasse um código arbitrário no contexto do processo atual.

Versões afetadas

Aplicações Versões afetadas Versões mitigadas
MicroStation Versões anteriores a 10.16.02.* 10.16.02.* e mais recentes
Bentley View Versões anteriores a 10.16.02.* 10.16.02.* e mais recentes

 

Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e das aplicações baseadas no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos 3DS provenientes de fontes confiáveis.

Reconhecimento
Obrigado a Francis Provencher {PRL} por ter descoberto o ZDI-CAN-14736. Obrigado a Mat Powell da Trend Micro Zero Day Initiative por descobrir o resto das vulnerabilidades relacionadas a esta assessoria.

Histórico de revisão

Data Descrição
2021-12-07 Primeira versão da assessoria
2022-02-04 Adicionados novos números de CVE fornecidos pela ZDI
Precisa de suporte?
Opções de acessibilidade
Voltar ao topo
Logotipo preto da Bentley Systems
Explorar

Software
Licenças e assinaturas
Minha conta/Criar perfil
Comprar software
Recursos

Construa conosco
Alunos e professores
Desenvolvedores
Pesquisa de produto
Jurídico

Panorama Jurídico
Trust Center

Empresa

Sobre
Carreiras
Contate-nos
Investidores
Eventos
Year in Infrastructure
ESG
COP

Histórias e Notícias

Notícias
Blog
Infrastructure Yearbook
Digital Currency Newsletter

Suporte

Centro de apoio
Treinamento
Serviços
Bentley Communities

INVESTIMENTOS
Fundo Bentley iTwin Ventures
Business & Partners
Parceiros de canal e treinamento
Seequent, a empresa de subsuperfície da Bentley
Cohesive
Cesium

Termo de Privacidade | Termos de uso | Cookies

Facebook LinkedIn YouTube Instagram
© 2024 Bentley systems, incorporated

20% de desconto em software da Bentley

A oferta termina na sexta-feira

Use o código de cupom "THANKS24"

Comprar agora

Comemore a excelência na entrega e no desempenho da infraestrutura

Year in Infrastructure e Going Digital Awards 2024

Indique um projeto para os prêmios de maior prestígio em infraestrutura! O prazo estendido para participar é 29 de abril.

Enviar projeto