BE-2022-0008: Vulnerabilidades de análise de arquivo OBJ fora dos limites e estouro de pilha em aplicações MicroStation e baseadas em MicroStation
Bentley ID: BE-2022-0008
CVE ID: CVE-2022-28304, CVE-2022-28305, CVE-2022-28306
Gravidade: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Data de publicação: 2022-04-05
Data de revisão: 2022-04-05
Resumo
O MicroStation e os aplicativos baseados no MicroStation podem ser afetados por vulnerabilidades de estouro de pilha (stack overflow) ao abrir arquivos OBJ criados maliciosamente. A exploração destas vulnerabilidades poderia levar à execução de códigos.
Detalhes
As seguintes vulnerabilidades relacionadas a este comunicado foram descobertas pela TrendMicro ZDI: ZDI-CAN-16171, ZDI-CAN-16172 and ZDI-CAN-16174. O uso de uma versão afetada do MicroStation ou de um aplicativo baseado no MicroStation para abrir um arquivo OBJ que contenha dados criados de forma maliciosa, pode forçar a um erro de estouro de pilha (stack overflow). A exploração destas vulnerabilidades dentro da análise dos arquivos OBJ poderia permitir que um invasor executasse um código arbitrário no contexto do processo atual.
Versões afetadas
| Aplicações | Versões afetadas | Versões mitigadas |
| MicroStation | 10.16.02.* e versões anteriores | 10.16.03.* e mais recentes |
| Bentley View | 10.16.02.* e versões anteriores | 10.16.03.* e mais recentes |
Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e das aplicações baseadas no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos OBJ provenientes de fontes confiáveis.
Reconhecimento
Obrigado ao Anonymous, que trabalha com a Trend Micro Zero Day Initiative para encontrar essas vulnerabilidades.
Histórico de revisão
| Data | Descrição |
| 2022-04-05 | Primeira versão da assessoria |
