BE-2021-0010: Vulnerabilidades de leitura fora dos limites em aplicações baseadas em MicroStation e MicroStation
Bentley ID: BE-2021-0010
CVE ID: CVE-2021-34902, CVE-2021-34916, CVE-2021-46593, CVE-2021-46594, CVE-2021-46608, CVE-2021-46624
Gravidade: 3.3
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data de publicação: 2021-12-07
Data de revisão: 2021-12-07 (
Resumo
O MicroStation e aplicativos baseados em MicroStation podem ser afetados por vulnerabilidades de leitura fora dos limites ao abrir arquivos DWG criados com códigos maliciosos. A exploração destas vulnerabilidades poderia levar à execução de códigos.
Detalhes
As seguintes vulnerabilidades relacionadas a este comunicado foram descobertas pela TrendMicro TrendMicro ZDI: ZDI-CAN-14875, ZDI-CAN-14894, ZDI-CAN-15387, ZDI-CAN-15388, ZDI-CAN-15402, ZDI-CAN-15454. O uso de uma versão afetada do MicroStation e aplicativo baseado no MicroStation para abrir um arquivo DWG contendo dados criados maliciosamente pode forçar a um erro de leitura fora dos limites (out-of-bounds read). A exploração destas vulnerabilidades dentro da análise dos arquivos DWG poderia permitir que um invasor executasse um código arbitrário no contexto do processo atual.
Versões afetadas
| Aplicações | Versões afetadas | Versões mitigadas |
| MicroStation | Versões anteriores a 10.16.02.* | 10.16.02.* e mais recentes |
| Bentley View | Versões anteriores a 10.16.02.* | 10.16.02.* e mais recentes |
Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e dos aplicativos baseados no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos DWG provenientes de fontes confiáveis.
Reconhecimento
Agradecemos a Mat Powell da Trend Micro Zero Day Initiative por descobrir essas vulnerabilidades.
Histórico de revisão
| Data | Descrição |
| 2021-12-07 | Primeira versão da assessoria |
| 2022-02-04 | Adicionando novos números de CVE fornecidos pela ZDI |
