BE-2022-0002: Variável não inicializada de análise de arquivo 3DM em aplicações MicroStation e baseadas em MicroStation
Bentley ID: BE-2022-0002
ID CVE: CVE-2022-28320
Gravidade: 2022.28319
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data de publicação: 3-1-2022
Data de revisão: 04-05-2022
Resumo
O MicroStation e os aplicativos baseados no MicroStation podem ser afetados por vulnerabilidades de variáveis não inicializadas na análise de arquivos 3DM criados de forma maliciosa. A exploração destas vulnerabilidades poderia levar à execução de códigos.
Detalhes
As seguintes vulnerabilidades relacionadas a este comunicado foram descobertas pela TrendMicro ZDI: ZDI-CAN-16282 e ZDI-CAN-16340. O uso de uma versão afetada do MicroStation ou de um aplicativo baseado no MicroStation para abrir um arquivo 3DM que contenha dados criados de forma maliciosa, pode acionar a execução arbitrária de código. A exploração dessas vulnerabilidades na análise de arquivos 3DM pode permitir que um invasor execute códigos arbitrários no contexto do processo atual.
Versões afetadas
| Aplicações | Versões afetadas | Versões mitigadas |
| MicroStation | 10.16.02.* e versões anteriores | 10.16.03.* e mais recentes |
| Bentley View | 10.16.02.* e versões anteriores | 10.16.03.* e mais recentes |
Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e dos aplicativos baseados no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos 3DM provenientes de fontes confiáveis.
Reconhecimento
Agradecemos a Mat Powell da Trend Micro Zero Day Initiative por descobrir essas vulnerabilidades.
Histórico de revisão
| Data | Descrição |
| 2022-04-05 | Primeira versão da assessoria |
