BE-2022-0009: Vulnerabilidades de uso após ausência de vulnerabilidades de análise de arquivo SKP em aplicações MicroStation e baseadas em MicroStation
Bentley ID: BE-2022-0009
ID CVE: CVE-2022-28303
Gravidade: 2022.28310
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data de publicação: 3-1-2022
Data de revisão: 04-05-2022
Resumo
As aplicações baseadas no MicroStation e o MicroStation podem ser afetados por vulnerabilidades de uso após a liberação ao abrir arquivos SKP criados com códigos maliciosos. A exploração destas vulnerabilidades poderia levar à execução de códigos.
Detalhes
As seguintes vulnerabilidades relacionadas a este comunicado foram descobertas pela TrendMicro ZDI: ZDI-CAN-16280 e ZDI-CAN-16339. O uso de uma versão afetada da aplicação MicroStation ou baseada em MicroStation para abrir um arquivo SKP contendo dados criados maliciosamente pode desencadear uma vulnerabilidade de uso após uma vulnerabilidade livre. A exploração destas vulnerabilidades dentro da análise dos arquivos SKP poderia permitir que um invasor executasse um código arbitrário no contexto do processo atual.
Versões afetadas
| Aplicações | Versões afetadas | Versões mitigadas |
| MicroStation | 10.16.02.* e versões anteriores | 10.16.03.* e mais recentes |
| Bentley View | 10.16.02.* e versões anteriores | 10.16.03.* e mais recentes |
Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e das aplicações baseadas no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos SKP provenientes de fontes confiáveis.
Reconhecimento
Agradecemos a Mat Powell da Trend Micro Zero Day Initiative por descobrir essas vulnerabilidades.
Histórico de revisão
| Data | Descrição |
| 2022-04-05 | Primeira versão da assessoria |
