BE-2021-0015: Use of uninitialized memory in MicroStation and MicroStation-based applications
Bentley-ID: BE-2021-0015
CVE-ID: CVE-2021-46617, CVE-2021-46631
Schweregrad: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Veröffentlichungsdatum: 07.12.2021
Überarbeitungsdatum: 07.12.2021
Zusammenfassung
MicroStation und MicroStation-basierte Anwendungen können beim Öffnen von in böser Absicht erstellten TIF-Dateien von Schwachstellen mit nicht initialisiertem Speicher betroffen sein. Die Ausnutzung dieser Schwachstellen kann zur Codeausführung führen.
Details
Die folgende Schwachstelle im Zusammenhang mit diesem Hinweis wurde von TrendMicro ZDI entdeckt: ZDI-CAN-15411, ZDI-CAN-15461. Die Verwendung einer betroffenen Version von MicroStation oder einer MicroStation-basierten Anwendung zum Öffnen einer TIF-Datei, die in böser Absicht erstellte Daten enthält, kann eine Schwachstelle mit nicht initialisiertem Speicher auslösen. Die Ausnutzung dieser Schwachstelle beim Parsen von TIF-Dateien könnte es einem Angreifer ermöglichen, beliebigen Code im Kontext des aktuellen Prozesses auszuführen.
Affected Versions
| Applications | Affected Versions | Mitigated Versions |
| MicroStation | Versions prior to 10.16.02.* | 10.16.02.* and more recent |
| Bentley View | Versions prior to 10.16.02.* | 10.16.02.* and more recent |
Empfohlene Schutzmaßnahmen
Bentley empfiehlt, die neuesten Versionen von MicroStation und MicroStation-basierten Anwendungen zu verwenden. Generell wird empfohlen, nur TIF-Dateien zu öffnen, die aus vertrauenswürdigen Quellen stammen.
Danksagung
Vielen Dank an Mat Powell von der Trend Micro Zero Day Initiative für die Entdeckung dieser Schwachstelle.
Revision History
| Date | Beschreibung |
| 07.12.2021 | Erste Version dieses Hinweises |
| 04.02.2022 | Adding the CVE numbers provided by ZDI |
