BE-2021-0003: Out-of-bounds and use-after-free vulnerabilities in MicroStation and MicroStation-based applications
ID Bentley : BE-2021-0003
ID CVE : CVE-2021-34873, CVE-2021-34887, CVE-2021-46599, CVE-2021-46609, CVE-2021-46612, CVE-2021-46619, CVE-2021-46633
Gravité : 7,8
CVSS v3.1 : AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Date de publication : 2021-12-07
Date de révision : 2021-12-07
Résumé
MicroStation et les applications basées sur MicroStation peuvent être affectées par des vulnérabilités de lecture hors limites ou « use-after-free » lors de l'ouverture de fichiers PDF conçus de façon malveillante. L'exploitation de ces vulnérabilités pourrait entraîner l'exécution de code.
Détails
Les vulnérabilités suivantes liées à cet avis ont été découvertes par TrendMicro ZDI : ZDI-CAN-14696, ZDI-CAN-14840, ZDI-CAN-15393, ZDI-CAN-15403, ZDI-CAN-15406, ZDI-CAN-15413, ZDI-CAN-15463. L'utilisation d'une version affectée de MicroStation ou d'une application basée sur MicroStation pour ouvrir un fichier PDF contenant des données conçues de façon malveillante peut forcer une vulnérabilité de type hors limites ou « use-after-free ». L'exploitation de ces vulnérabilités dans le cadre de l'analyse de fichiers PDF pourrait permettre à un attaquant d'exécuter du code de façon arbitraire dans le contexte du processus en cours.
Affected Versions
Applications | Affected Versions | Mitigated Versions |
MicroStation | Versions prior to 10.16.02.* | 10.16.02.* and more recent |
Bentley View | Versions prior to 10.16.02.* | 10.16.02.* and more recent |
Mesures d'atténuation recommandées
Bentley recommande d'effectuer la mise à jour vers les dernières versions de MicroStation et des applications basées sur MicroStation. En règle générale, il est également recommandé de n'ouvrir que les fichiers PDF provenant de sources fiables.
Remerciements
Merci à Francis Provencher {PRL} d'avoir découvert ZDI-CAN-14696. Merci à Mat Powell, de l'initiative Zero Day de Trend Micro, d'avoir découvert le reste des vulnérabilités liées à cet avis.
Revision History
Date | Description |
07-12-2021 | Première version de l’avis |
04-02-2022 | Adding new CVE numbers provided by ZDI |