BE-2021-0006: Out-of-Bounds and use-after-free vulnerabilities in MicroStation and MicroStation-based applications

Bentley-ID: BE-2021-0006
CVE-ID: CVE-2021-34879, CVE-2021-34883, CVE-2021-34900, CVE-2021-34906, CVE-2021-34908, CVE-2021-34915, CVE-2021-34917, CVE-2021-46583, CVE-2021-46584, CVE-2021-46603, CVE-2021-46614, CVE-2021-46622, CVE-2021-46626
Schweregrad: 7,8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Veröffentlichungsdatum: 07.12.2021
Überarbeitungsdatum: 07.12.2021

Zusammenfassung
MicroStation und MicroStation-basierte Anwendungen können beim Öffnen von in böser Absicht erstellte J2K-Dateien von Schwachstellen außerhalb des zulässigen Bereichs oder des Typs „Use-after-free“ betroffen sein. Die Ausnutzung dieser Schwachstellen kann zur Codeausführung führen.

Details
Die folgenden Schwachstellen im Zusammenhang mit diesem Hinweis wurden von TrendMicro ZDI entdeckt: ZDI-CAN-14832, ZDI-CAN-14836, ZDI-CAN-14867, ZDI-CAN-14879, ZDI-CAN-14881, ZDI-CAN-14893, ZDI-CAN-14895, ZDI-CAN-15377, ZDI-CAN-15378, ZDI-CAN-15397, ZDI-CAN-15408, ZDI-CAN-15416, ZDI-CAN-15456. Die Verwendung einer betroffenen Version von MicroStation oder einer MicroStation-basierten Anwendung zum Öffnen einer J2K-Datei, die in böser Absicht erstellte Daten enthält, kann eine Schwachstelle außerhalb des zulässigen Bereichs oder des Typs „Use-after-free“ auslösen. Die Ausnutzung dieser Schwachstellen beim Parsen von J2K-Dateien könnte es einem Angreifer ermöglichen, beliebigen Code im Kontext des aktuellen Prozesses auszuführen.

Affected Versions

Empfohlene Schutzmaßnahmen
Bentley empfiehlt, die neuesten Versionen von MicroStation und MicroStation-basierten Anwendungen zu verwenden. Generell wird empfohlen, nur J2K-Dateien zu öffnen, die aus vertrauenswürdigen Quellen stammen.

Danksagung
Vielen Dank an Mat Powell von der Trend Micro Zero Day Initiative für die Entdeckung dieser Schwachstellen.

Revision History