Alle Hinweise / BE-2021-0012

BE-2021-0012

BE-2021-0012: Out-of-bounds read and use-after-free vulnerabilities in MicroStation and MicroStation-based applications

Bentley-ID: BE-2021-0012
CVE-ID: CVE-2021-34886, CVE-2021-46620, CVE-2021-46630
Schweregrad: 3,3
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
Veröffentlichungsdatum: 07.12.2021
Überarbeitungsdatum: 07.12.2021

Zusammenfassung
MicroStation und MicroStation-basierte Anwendungen können beim Öffnen von in böser Absicht erstellte FBX-Dateien von Schwachstellen durch Lesen außerhalb des zulässigen Bereichs oder des Typs „Use-after-free“ betroffen sein. Die Ausnutzung dieser Schwachstellen kann zur Codeausführung führen.

Details
Die folgenden Schwachstellen im Zusammenhang mit diesem Hinweis wurden von TrendMicro ZDI entdeckt: ZDI-CAN-14839, ZDI-CAN-15414, ZDI-CAN-15460. Die Verwendung einer betroffenen Version von MicroStation oder einer MicroStation-basierten Anwendung zum Öffnen einer FBX-Datei, die in böser Absicht erstellte Daten enthält, kann eine Schwachstelle durch Lesen außerhalb des zulässigen Bereichs oder des Typs „Use-after-free“ auslösen. Die Ausnutzung dieser Schwachstellen beim Parsen von FBX-Dateien könnte es einem Angreifer ermöglichen, beliebigen Code im Kontext des aktuellen Prozesses auszuführen.

Affected Versions

Applications Affected Versions Mitigated Versions
MicroStation Versions prior to 10.16.02.* 10.16.02.* and more recent
Bentley View Versions prior to 10.16.02.* 10.16.02.* and more recent

 

Empfohlene Schutzmaßnahmen
Bentley empfiehlt, die neuesten Versionen von MicroStation und MicroStation-basierten Anwendungen zu verwenden. Generell wird empfohlen, nur FBX-Dateien zu öffnen, die aus vertrauenswürdigen Quellen stammen.

Danksagung
Vielen Dank an Mat Powell von der Trend Micro Zero Day Initiative für die Entdeckung dieser Schwachstellen.

Revision History

Date Beschreibung
07.12.2021 Erste Version dieses Hinweises
04.02.2022 Adding new CVE numbers provided by ZDI

20 % Rabatt auf Bentley-Software

Angebot endet am Freitag

Verwenden Sie den Gutscheincode „THANKS24“

Feiern Sie mit uns die Umsetzung von Infrastruktur und herausragende Leistungen

Year in Infrastructure und Going Digital Awards 2024

Reichen Sie ein Projekt ein für die renommiertesten Auszeichnungen im Infrastrukturbereich! Die verlängerte Einreichungsfrist endet am 29. April.