BE-2022-0019: Vulnerabilidades de leitura fora dos limites de análise de arquivo FBX e estouro de head em aplicações MicroStation e baseadas em MicroStation
Bentley ID: BE-2022-0019
ID CVE: CVE-2022-42900
Gravidade: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data de publicação: 2022-10-12
Data de revisão: 2022-10-12
Resumo
MicroStation e aplicações baseadas em MicroStation podem ser afetados por vulnerabilidades de leitura fora dos limites ao abrir arquivos FBX criados com códigos maliciosos. A exploração dessas vulnerabilidades poderia levar à divulgação de informações e à execução de códigos.
Detalhes
O uso de uma versão afetada do MicroStation ou de uma aplicação baseada em MicroStation para abrir um arquivo FBX contendo dados criados com códigos maliciosos pode forçar uma leitura fora dos limites ou forçar a execução de código arbitrário. A exploração destas vulnerabilidades dentro da análise dos arquivos FBX pode permitir que um invasor leia informações no contexto do processo atual.
Versões afetadas
| Aplicações | Versões afetadas | Versões mitigadas |
| MicroStation | 10.17.0.* e versões anteriores | 10.17.01.58* e mais recentes |
| Bentley View | 10.17.0.* e versões anteriores | 10.17.01.19 e mais recentes |
Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e das aplicações baseadas no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos FBX provenientes de fontes confiáveis.
Reconhecimento
Obrigado a Michael DePlante (@izobashi) da Zero Day Initiative da Trend Micro
Histórico de revisão
| Data | Descrição |
| 2022-10-12 | Primeira versão da assessoria |
| 2022-10-13 | Acréscimo do número de CVE |
