BE-2021-0012: Vulnerabilidades de leitura fora dos limites e de uso após a ausência de vulnerabilidades em aplicações baseadas em MicroStation e MicroStation

Bentley ID: BE-2021-0012
CVE ID: CVE-2021-34886, CVE-2021-46620, CVE-2021-46630
Gravidade: 3.3
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data de publicação: 2021-12-07
Data de revisão: 2021-12-07

Resumo
O MicroStation e os aplicativos baseados no MicroStation podem ser afetados por vulnerabilidades de leitura fora dos limites (out-of-bounds write) ou de uso incorreto da memória dinâmica (use-after-free) ou de uso ao abrir arquivos FBX criados com códigos maliciosos. A exploração destas vulnerabilidades poderia levar à execução de códigos.

Detalhes
As seguintes vulnerabilidades relacionadas a este comunicado foram descobertas pela TrendMicro ZDI: ZDI-CAN-14839 e ZDI-CAN-15414, ZDI-CAN-15460. O uso de uma versão afetada do aplicativo MicroStation ou baseado no MicroStation para abrir um arquivo FBX contendo dados criados maliciosamente, pode forçar uma vulnerabilidade de leitura fora dos limites (out-of-bounds write) ou de uso incorreto da memória dinâmica (use-after-free). A exploração destas vulnerabilidades dentro da análise dos arquivos FBX poderia permitir que um invasor executasse um código arbitrário no contexto do processo atual.

Versões afetadas

Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e das aplicações baseadas no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos FBX provenientes de fontes confiáveis.

Reconhecimento
Agradecemos a Mat Powell da Trend Micro Zero Day Initiative por descobrir essas vulnerabilidades.

Histórico de revisão