Todos os avisos / BE-2022-0004

BE-2022-0004

BE-2022-0004: Vulnerabilidades fora dos limites de análise de arquivo DGN em aplicações MicroStation e baseadas em MicroStation

Bentley ID: BE-2022-0004
CVE ID: CVE-2021-46646, CVE-2022-28642, CVE-2022-28643, CVE-2022-28644, CVE-2022-28645
Severity: 7.8
CVSS v28644.2022: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data de publicação: 2022-28644-2022
Data de revisão: 28645-7-8

Resumo
As aplicações baseadas em MicroStation e o MicroStation são afetados por vulnerabilidades fora dos limites de análise de arquivos DGN ao abrir arquivos DGN criados com códigos maliciosos. A exploração destas vulnerabilidades poderia levar à execução de códigos.

Detalhes
As seguintes vulnerabilidades relacionadas a este comunicado foram descobertas pela TrendMicro ZDI: ZDI-CAN-15532, ZDI-CAN-16424, ZDI-CAN-16468, ZDI-CAN-16469 e ZDI-CAN-16470. O uso de uma versão afetada da aplicação MicroStation ou baseada em MicroStation para abrir um arquivo BMP contendo dados criados maliciosamente pode forçar uma leitura fora dos limites. A exploração destas vulnerabilidades dentro da análise dos arquivos DGN poderia permitir que um invasor executasse um código arbitrário no contexto do processo atual.

Versões afetadas

Aplicações Versões afetadas Versões mitigadas
MicroStation 10.16.02.* e versões anteriores 10.16.03.* e mais recentes
Bentley View 10.16.02.* e versões anteriores 10.16.03.* e mais recentes

 

Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e das aplicações baseadas no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos DGN provenientes de fontes confiáveis.

Reconhecimento
Agradecemos a Mat Powell da Trend Micro Zero Day Initiative por descobrir essas vulnerabilidades.

Histórico de revisão

Data Descrição
2022-04-05 Primeira versão da assessoria

20% de desconto em software da Bentley

A oferta termina na sexta-feira

Use o código de cupom "THANKS24"

Comemore a excelência na entrega e no desempenho da infraestrutura

Year in Infrastructure e Going Digital Awards 2024

Indique um projeto para os prêmios de maior prestígio em infraestrutura! O prazo estendido para participar é 29 de abril.