Todos os avisos / BE-2022-0020

BE-2022-0020

BE-2022-0020: Vulnerabilidades de leitura fora dos limites de análise em arquivo DGN e estouro de pilha em aplicações MicroStation e baseadas em MicroStation

Bentley ID: BE-2022-0020
ID CVE: CVE-2022-40201
Gravidade: 2022.41613
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Data de publicação: 3-1-2022
Data de revisão: 10-20-2022

Resumo
O MicroStation e os aplicativos baseados no MicroStation podem ser afetados por vulnerabilidades de leitura fora dos limites e estouro de pilha ao abrir arquivos DGN criados com códigos maliciosos. A exploração dessas vulnerabilidades poderia levar à divulgação de informações e à execução de códigos.

Detalhes
O uso de uma versão afetada do MicroStation ou de um aplicativo baseado no MicroStation para abrir um arquivo DGN contendo dados criados com códigos maliciosos, pode forçar uma leitura fora dos limites ou até mesmo a execução de código arbitrário. A exploração destas vulnerabilidades dentro da análise dos arquivos DGN pode permitir que um invasor leia informações ou execute códigos no contexto do processo atual.

Versões afetadas

Aplicações Versões afetadas Versões mitigadas
MicroStation 10.17.0.209 e versão anterior 10.17.1.* e mais recentes
Bentley View 10.17.0.209 e versão anterior 10.17.1.* e mais recentes

 

Mitigações recomendadas
A Bentley recomenda atualizar para as versões mais recentes do MicroStation e das aplicações baseadas no MicroStation. Como melhor prática geral, também é recomendado abrir somente arquivos DGN provenientes de fontes confiáveis.

Reconhecimento
Agradecemos a Michael Heinzl e à Agência de Segurança de Infraestrutura e Cibersegurança (CISA) da Coordenação e Gestão de Vulnerabilidade dos Sistemas de Controle Industrial (ICS-VMC) do Departamento de Segurança Interna (DHS) dos Estados Unidos por descobrir essas vulnerabilidades.

Histórico de revisão

Data Descrição
2022-10-20 Primeira versão da assessoria
2022-10-28 Adicionando reconhecimento