BE-2022-0006: IFC File Parsing Vulnerabilities in MicroStation and MicroStation-based applications

ID Bentley : BE-2022-0006
ID CVE : CVE-2022-28314, CVE-2022-28315, CVE-2022-28316, CVE-2022-28317, CVE-2022-28318, CVE-2022-28641, CVE-2022-28301, CVE-2022-28302, CVE-2022-28646, CVE-2022-28647, CVE-2022-1229
Gravité : 7,8
CVSS v3.1 : AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Date de publication : 2022-04-05
Date de révision : 2022-04-05

Résumé
MicroStation et les applications basées sur MicroStation peuvent être affectées par des vulnérabilités lors de l'ouverture de fichiers IFC conçus de façon malveillante. L'exploitation de ces vulnérabilités pourrait entraîner l'exécution de code.

Détails
Les vulnérabilités suivantes liées à cet avis ont été découvertes par TrendMicro ZDI : ZDI-CAN-16332, ZDI-CAN-16367, ZDI-CAN-16368, ZDI-CAN-16369, ZDI-CAN-16379, ZDI-CAN-16390, ZDI-CAN-16392, ZDI-CAN-16446, ZDI-CAN-16570, ZDI-CAN-16573 et ZDI-CAN-16581. L'utilisation d'une version affectée de MicroStation ou d'une application basée sur MicroStation pour ouvrir un fichier IFC contenant des données conçues de façon malveillante peut forcer une lecture ou une écriture hors limites, un dépassement de pile ou des vulnérabilités de variables non initialisées. L'exploitation de ces vulnérabilités dans le cadre de l'analyse de fichiers IFC pourrait permettre à un attaquant d'exécuter du code de façon arbitraire dans le contexte du processus en cours.

Affected Versions

Mesures d’atténuation recommandées
Bentley recommande d’effectuer la mise à jour vers les dernières versions de MicroStation et des applications basées sur MicroStation. En règle générale, il est également recommandé de n’ouvrir que les fichiers IFC provenant de sources fiables.

Remerciements
Merci à Mat Powell et à Anonyme de l'initiative Zero Day de Trend Micro d'avoir découvert ces vulnérabilités.

Revision History