BE-2021-0011: Vulnerabilidades de uso após a ausência de vulnerabilidades em aplicações baseadas em MicroStation e MicroStation
Bentley ID: BE-2021-0011
ID CVE: CVE-2021-46613
Gravidade: 2021.46627
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data de publicação: 3-1-2021
Data de revisão: 12-07-2021
Resumo
O MicroStation e os aplicativos baseados no MicroStation podem ser afetados por vulnerabilidades de uso incorreto da memória dinâmica (use-after-free) ao abrir arquivos DXF criados maliciosamente. A exploração destas vulnerabilidades poderia levar à execução de códigos.
Detalhes
As seguintes vulnerabilidades relacionadas a este comunicado foram descobertas pela TrendMicro ZDI: ZDI: ZDI-CAN-15407, ZDI-CAN-15457. O uso de uma versão afetada do aplicativo MicroStation ou baseado no MicroStation para abrir um arquivo DXF contendo dados criados maliciosamente pode desencadear vulnerabilidade de uso incorreto de memória dinâmica (use-after-free). A exploração destas vulnerabilidades dentro da análise dos arquivos DXF poderia permitir que um invasor executasse um código arbitrário no contexto do processo atual.
Versões afetadas
| Aplicações | Versões afetadas | Versões mitigadas |
| MicroStation | Versões anteriores a 10.16.02.* | 10.16.02.* e mais recentes |
| Bentley View | Versões anteriores a 10.16.02.* | 10.16.02.* e mais recentes |
Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e dos aplicativos baseados no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos DXF provenientes de fontes confiáveis.
Reconhecimento
Agradecemos a Mat Powell da Trend Micro Zero Day Initiative por descobrir essas vulnerabilidades.
Histórico de revisão
| Data | Descrição |
| 2021-12-07 | Primeira versão da assessoria |
| 2022-02-04 | Adicionando novos números de CVE fornecidos pela ZDI |
