BE-2021-0014: Vulnerabilidades de uso após a ausência de vulnerabilidades em aplicações baseadas em MicroStation e MicroStation
Bentley ID: BE-2021-0014
ID CVE: CVE-2021-34872
Gravidade: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data de publicação: 2021-12-07
Data de revisão: 2021-12-07
Resumo
O MicroStation e os aplicativos baseados no MicroStation podem ser afetados por vulnerabilidade de uso incorreto da memória dinâmica (use-after-free) ao abrir arquivos SKP criados com códigos maliciosos. A exploração destas vulnerabilidades poderia levar à execução de códigos.
Detalhes
A seguinte vulnerabilidade relacionada a esta assessoria foi descoberta pela TrendMicro ZDI: ZDI-CAN-14737. O uso de uma versão afetada do MicroStation ou aplicativo baseado no MicroStation para abrir um arquivo SKP contendo dados criados maliciosamente, pode desencadear uma vulnerabilidade de de uso incorreto da memória dinâmica (use-after-free). A exploração desta vulnerabilidade dentro da análise dos arquivos SKP poderia permitir que um invasor executasse um código arbitrário no contexto do processo atual.
Versões afetadas
| Aplicações | Versões afetadas | Versões mitigadas |
| MicroStation | Versões anteriores a 10.16.02.* | 10.16.02.* e mais recentes |
| Bentley View | Versões anteriores a 10.16.02.* | 10.16.02.* e mais recentes |
Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e das aplicações baseadas no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos SKP provenientes de fontes confiáveis.
Reconhecimento
Obrigado a Francis Provencher {PRL} por ter descoberto esta vulnerabilidade.
Histórico de revisão
| Data | Descrição |
| 2021-12-07 | Primeira versão da assessoria |
