BE-2022-0007: JP2 File Parsing Out-of-bounds Write in MicroStation and MicroStation-based applications
ID Bentley : BE-2022-0007
ID CVE : CVE-2022-28300
Gravité : 7,8
CVSS v3.1 : AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Date de publication : 05-04-2022
Date de révision : 05-04-2022
Résumé
MicroStation et les applications basées sur MicroStation peuvent être affectées par des vulnérabilités d'écriture hors limites lors de l'ouverture de fichiers JP2 conçus de façon malveillante. L'exploitation de ces vulnérabilités pourrait entraîner l'exécution de code.
Détails
Les vulnérabilités suivantes liées à cet avis ont été découvertes par TrendMicro ZDI : ZDI-CAN-16202. L'utilisation d'une version affectée de MicroStation ou d'une application basée sur MicroStation pour ouvrir un fichier JP2 contenant des données conçues de façon malveillante peut forcer une écriture hors limites. L'exploitation de cette vulnérabilité dans le cadre de l'analyse de fichiers JP2 pourrait permettre à un attaquant d'exécuter du code de façon arbitraire dans le contexte du processus en cours.
Affected Versions
| Applications | Affected Versions | Mitigated Versions |
| MicroStation | 10.16.02.* et versions antérieures | 10.16.03.* and more recent |
| Bentley View | 10.16.02.* et versions antérieures | 10.16.03.* and more recent |
Mesures d’atténuation recommandées
Bentley recommande d’effectuer la mise à jour vers les dernières versions de MicroStation et des applications basées sur MicroStation. En règle générale, il est également recommandé de n’ouvrir que les fichiers JP2 provenant de sources fiables.
Remerciements
Merci à Anonyme d'avoir travaillé avec Trend Micro sur l'initiative Zero Day pour trouver cette vulnérabilité.
Revision History
| Date | Description |
| 05-04-2022 | Première version de l’avis |
