BE-2021-0014: Use-after-free vulnerability in MicroStation and MicroStation-based applications
ID Bentley : BE-2021-0014
ID CVE : CVE-2021-34872
Gravité : 7,8
CVSS v3.1 : AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Date de publication : 07-12-2021
Date de révision : 07-12-2021
Résumé
MicroStation et les applications basées sur MicroStation peuvent être affectées par une vulnérabilité de type « use-after-free » lors de l'ouverture de fichiers SKP conçus de façon malveillante. L'exploitation de cette vulnérabilité pourrait entraîner l'exécution de code.
Détails
La vulnérabilité suivante liée à cet avis a été découverte par TrendMicro ZDI : ZDI-CAN-14737. L'utilisation d'une version affectée de MicroStation ou d'une application basée sur MicroStation pour ouvrir un fichier SKP contenant des données conçues de façon malveillante peut forcer une vulnérabilité de type « use-after-free ». L'exploitation de cette vulnérabilité dans le cadre de l'analyse de fichiers SKP pourrait permettre à un attaquant d'exécuter du code de façon arbitraire dans le contexte du processus en cours.
Affected Versions
| Applications | Affected Versions | Mitigated Versions |
| MicroStation | Versions prior to 10.16.02.* | 10.16.02.* and more recent |
| Bentley View | Versions prior to 10.16.02.* | 10.16.02.* and more recent |
Mesures d’atténuation recommandées
Bentley recommande d’effectuer la mise à jour vers les dernières versions de MicroStation et des applications basées sur MicroStation. En règle générale, il est également recommandé de n’ouvrir que les fichiers SKP provenant de sources fiables.
Remerciements
Merci à Francis Provencher {PRL} d'avoir découvert cette vulnérabilité.
Revision History
| Date | Description |
| 07-12-2021 | Première version de l’avis |
