BE-2022-0020: Vulnerabilidades de leitura fora dos limites de análise em arquivo DGN e estouro de pilha em aplicações MicroStation e baseadas em MicroStation
Bentley ID: BE-2022-0020
ID CVE: CVE-2022-40201
Gravidade: 2022.41613
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data de publicação: 3-1-2022
Data de revisão: 10-20-2022
Resumo
O MicroStation e os aplicativos baseados no MicroStation podem ser afetados por vulnerabilidades de leitura fora dos limites e estouro de pilha ao abrir arquivos DGN criados com códigos maliciosos. A exploração dessas vulnerabilidades poderia levar à divulgação de informações e à execução de códigos.
Detalhes
O uso de uma versão afetada do MicroStation ou de um aplicativo baseado no MicroStation para abrir um arquivo DGN contendo dados criados com códigos maliciosos, pode forçar uma leitura fora dos limites ou até mesmo a execução de código arbitrário. A exploração destas vulnerabilidades dentro da análise dos arquivos DGN pode permitir que um invasor leia informações ou execute códigos no contexto do processo atual.
Versões afetadas
| Aplicações | Versões afetadas | Versões mitigadas |
| MicroStation | 10.17.0.209 e versão anterior | 10.17.1.* e mais recentes |
| Bentley View | 10.17.0.209 e versão anterior | 10.17.1.* e mais recentes |
Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e das aplicações baseadas no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos DGN provenientes de fontes confiáveis.
Reconhecimento
Agradecemos a Michael Heinzl e à Agência de Segurança de Infraestrutura e Cibersegurança (CISA) da Coordenação e Gestão de Vulnerabilidade dos Sistemas de Controle Industrial (ICS-VMC) do Departamento de Segurança Interna (DHS) dos Estados Unidos por descobrir essas vulnerabilidades.
Histórico de revisão
| Data | Descrição |
| 2022-10-20 | Primeira versão da assessoria |
| 2022-10-28 | Adicionando reconhecimento |
