BE-2022-0006: Vulnerabilidades de análise de arquivo IFC em aplicações MicroStation e baseadas em MicroStation

Bentley ID: BE-2022-0006
CVE ID: CVE-2022-28314, CVE-2022-28315, CVE-2022-28316, CVE-2022-28317, CVE-2022-28318, CVE-2022-28641, CVE-2022-28301, CVE-2022-28302, CVE-2022-28646, CVE-2022-28647, CVE-2022-1229
Gravidade: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data de publicação: 2022-04-05
Data de revisão: 2022-04-05

Resumo
O MicroStation e os aplicativos baseados no MicroStation podem ser afetados por vulnerabilidades de análise de arquivos IFC ao abrir arquivos IFC criados de forma maliciosa. A exploração destas vulnerabilidades poderia levar à execução de códigos.

Detalhes
As seguintes vulnerabilidades relacionadas a este comunicado foram descobertas pela TrendMicro ZDI: ZDI-CAN-16332, ZDI-CAN-16367, ZDI-CAN-16368, ZDI-CAN-16369, ZDI-CAN-16379, ZDI-CAN-16390, ZDI-CAN-16392, ZDI-CAN-16446, ZDI-CAN-16570, ZDI-CAN-16573 and ZDI-CAN-16581. O uso de uma versão afetada do MicroStation e aplicativo baseado no MicroStation para abrir um arquivo IFC contendo dados criados maliciosamente, pode forçar um erro de leitura fora dos limites (out-of-bounds write), estouro de pilha (stack overflow) ou vulnerabilidades de variáveis não inicializadas. A exploração destas vulnerabilidades dentro da análise dos arquivos IFC poderia permitir que um invasor executasse um código arbitrário no contexto do processo atual.

Versões afetadas

Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e das aplicações baseadas no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos IFC provenientes de fontes confiáveis.

Reconhecimento
Agradecemos a Mat Powell a Anonymous da Trend Micro Zero Day Initiative por descobrir essas vulnerabilidades.

Histórico de revisão