Todos os avisos / BE-2021-0004

BE-2021-0004

BE-2021-0004: Vulnerabilidades fora dos limites e de uso após a ausência de vulnerabilidades em aplicações baseadas em MicroStation e MicroStation

Bentley ID: BE-2021-0004
CVE ID: CVE-2021-34874, CVE-2021-34875, CVE-2021-34880, CVE-2021-34889, CVE-2021-34894, CVE-2021-34895, CVE-2021-34901, CVE-2021-34911, CVE-2021-46575, CVE-2021-46586, CVE-2021-46587, CVE-2021-46592, CVE-2021-46595, CVE-2021-46602, CVE-2021-46607, CVE-2021-46623
Gravidade: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data de publicação: 2021-12-07
Data de revisão: 2021-12-07

Resumo
O MicroStation e os aplicativos baseados no MicroStation podem ser afetados por vulnerabilidades de leitura fora dos limites (out-of-bounds write) e de uso incorreto da memória dinâmica (use-after-free) ao abrir arquivos 3DS criados com códigos maliciosos. A exploração destas vulnerabilidades poderia levar à execução de códigos.

Detalhes
As seguintes vulnerabilidades relacionadas a este comunicado foram descobertas pelo TrendMicro ZDI: ZDI-CAN-14736, ZDI-CAN-14827, ZDI-CAN-14833, ZDI-CAN-14842, ZDI-CAN-14847, ZDI-CAN-14862, ZDI-CAN-14874, ZDI-CAN-14884, ZDI-CAN-15369, ZDI-CAN-15380, ZDI-CAN-15381, ZDI-CAN-15386, ZDI-CAN-15389, ZDI-CAN-15396, ZDI-CAN-15401, ZDI-CAN-15453. O uso de uma versão afetada do MicroStation ou aplicativo baseado no MicroStation para abrir um arquivo 3DS contendo dados criados maliciosamente pode desencadear vulnerabilidade de leitura fora dos limites (out-of-bounds write) ou de uso incorreto da memória dinâmica (use-after-free). A exploração destas vulnerabilidades dentro da análise dos arquivos 3DS poderia permitir que um invasor executasse um código arbitrário no contexto do processo atual.

Versões afetadas

Aplicações Versões afetadas Versões mitigadas
MicroStation Versões anteriores a 10.16.02.* 10.16.02.* e mais recentes
Bentley View Versões anteriores a 10.16.02.* 10.16.02.* e mais recentes

 

Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e das aplicações baseadas no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos 3DS provenientes de fontes confiáveis.

Reconhecimento
Obrigado a Francis Provencher {PRL} por ter descoberto o ZDI-CAN-14736. Obrigado a Mat Powell da Trend Micro Zero Day Initiative por descobrir o resto das vulnerabilidades relacionadas a esta assessoria.

Histórico de revisão

Data Descrição
2021-12-07 Primeira versão da assessoria
2022-02-04 Adicionados novos números de CVE fornecidos pela ZDI

Vamos guiá-lo para a resposta certa ou agente certo.

Logotipo preto da Bentley Systems
Explorar
Software
Licenças e assinaturas
Minha conta/Criar perfil
Comprar software
Construa conosco
Alunos e professores
Desenvolvedores
Pesquisa de produto
Jurídico

Panorama Jurídico
Trust Center

Empresa
Sobre
Carreiras
Contate-nos
Investidores
Notícias
Eventos
Blog
Year in Infrastructure
ESG
Infrastructure Yearbook
Digital Currency Newsletter
COP
Suporte
Centro de apoio
Treinamento
Serviços
Bentley Communities
INVESTIMENTOS
Fundo Bentley iTwin Ventures
Business & Partners

Parceiros de canal e treinamento
Seequent, a empresa de subsuperfície da Bentley
Cohesive

Política de privacidade | Termos de uso | Cookies

Facebook LinkedIn YouTube Instagram
© 2024 Bentley systems, incorporated

Comemore a excelência na entrega e no desempenho da infraestrutura

Year in Infrastructure e Going Digital Awards 2024

Indique um projeto para os prêmios de maior prestígio em infraestrutura! O prazo estendido para participar é 29 de abril.

Enviar projeto