BE-2021-0012: Out-of-bounds read and use-after-free vulnerabilities in MicroStation and MicroStation-based applications
Bentley-ID: BE-2021-0012
CVE-ID: CVE-2021-34886, CVE-2021-46620, CVE-2021-46630
Schweregrad: 3,3
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Veröffentlichungsdatum: 07.12.2021
Überarbeitungsdatum: 07.12.2021
Zusammenfassung
MicroStation und MicroStation-basierte Anwendungen können beim Öffnen von in böser Absicht erstellte FBX-Dateien von Schwachstellen durch Lesen außerhalb des zulässigen Bereichs oder des Typs „Use-after-free“ betroffen sein. Die Ausnutzung dieser Schwachstellen kann zur Codeausführung führen.
Details
Die folgenden Schwachstellen im Zusammenhang mit diesem Hinweis wurden von TrendMicro ZDI entdeckt: ZDI-CAN-14839, ZDI-CAN-15414, ZDI-CAN-15460. Die Verwendung einer betroffenen Version von MicroStation oder einer MicroStation-basierten Anwendung zum Öffnen einer FBX-Datei, die in böser Absicht erstellte Daten enthält, kann eine Schwachstelle durch Lesen außerhalb des zulässigen Bereichs oder des Typs „Use-after-free“ auslösen. Die Ausnutzung dieser Schwachstellen beim Parsen von FBX-Dateien könnte es einem Angreifer ermöglichen, beliebigen Code im Kontext des aktuellen Prozesses auszuführen.
Affected Versions
| Applications | Affected Versions | Mitigated Versions |
| MicroStation | Versions prior to 10.16.02.* | 10.16.02.* and more recent |
| Bentley View | Versions prior to 10.16.02.* | 10.16.02.* and more recent |
Empfohlene Schutzmaßnahmen
Bentley empfiehlt, die neuesten Versionen von MicroStation und MicroStation-basierten Anwendungen zu verwenden. Generell wird empfohlen, nur FBX-Dateien zu öffnen, die aus vertrauenswürdigen Quellen stammen.
Danksagung
Vielen Dank an Mat Powell von der Trend Micro Zero Day Initiative für die Entdeckung dieser Schwachstellen.
Revision History
| Date | Beschreibung |
| 07.12.2021 | Erste Version dieses Hinweises |
| 04.02.2022 | Adding new CVE numbers provided by ZDI |
