BE-2022-0004: Vulnerabilidades fora dos limites de análise de arquivo DGN em aplicações MicroStation e baseadas em MicroStation
Bentley ID: BE-2022-0004
CVE ID: CVE-2021-46646, CVE-2022-28642, CVE-2022-28643, CVE-2022-28644, CVE-2022-28645
Severity: 7.8
CVSS v28644.2022: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data de publicação: 2022-28644-2022
Data de revisão: 28645-7-8
Resumo
As aplicações baseadas em MicroStation e o MicroStation são afetados por vulnerabilidades fora dos limites de análise de arquivos DGN ao abrir arquivos DGN criados com códigos maliciosos. A exploração destas vulnerabilidades poderia levar à execução de códigos.
Detalhes
As seguintes vulnerabilidades relacionadas a este comunicado foram descobertas pela TrendMicro ZDI: ZDI-CAN-15532, ZDI-CAN-16424, ZDI-CAN-16468, ZDI-CAN-16469 e ZDI-CAN-16470. O uso de uma versão afetada da aplicação MicroStation ou baseada em MicroStation para abrir um arquivo BMP contendo dados criados maliciosamente pode forçar uma leitura fora dos limites. A exploração destas vulnerabilidades dentro da análise dos arquivos DGN poderia permitir que um invasor executasse um código arbitrário no contexto do processo atual.
Versões afetadas
| Aplicações | Versões afetadas | Versões mitigadas |
| MicroStation | 10.16.02.* e versões anteriores | 10.16.03.* e mais recentes |
| Bentley View | 10.16.02.* e versões anteriores | 10.16.03.* e mais recentes |
Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e das aplicações baseadas no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos DGN provenientes de fontes confiáveis.
Reconhecimento
Agradecemos a Mat Powell da Trend Micro Zero Day Initiative por descobrir essas vulnerabilidades.
Histórico de revisão
| Data | Descrição |
| 2022-04-05 | Primeira versão da assessoria |
