BE-2022-0002: 3DM File Parsing Uninitialized Variable in MicroStation and MicroStation-based applications
Bentley-ID: BE-2022-0002
CVE-ID: CVE-2022-28320, CVE-2022-28319
Schweregrad: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Veröffentlichungsdatum: 05.04.2022
Überarbeitungsdatum: 05.04.2022
Zusammenfassung
MicroStation und MicroStation-basierte Anwendungen können beim Parsen von in böser Absicht erstellten 3DM-Dateien mit nicht initialisierten Variablen von Schwachstellen betroffen sein. Die Ausnutzung dieser Schwachstellen führt zur Ausführung von beliebigem Code.
Details
Die folgenden Schwachstellen im Zusammenhang mit diesem Hinweis wurden von TrendMicro ZDI entdeckt: ZDI-CAN-16282 and ZDI-CAN-16340. Die Verwendung einer betroffenen Version von MicroStation oder einer MicroStation-basierten Anwendung zum Öffnen einer 3DM-Datei, die in böser Absicht erstellte Daten enthält, kann die Ausführung von beliebigem Code auslösen. Die Ausnutzung dieser Schwachstellen beim Parsen von 3DM-Dateien könnte es einem Angreifer ermöglichen, beliebigen Code im Kontext des aktuellen Prozesses auszuführen.
Affected Versions
| Applications | Affected Versions | Mitigated Versions |
| MicroStation | 10.16.02.* und frühere Versionen | 10.16.03.* and more recent |
| Bentley View | 10.16.02.* und frühere Versionen | 10.16.03.* and more recent |
Empfohlene Schutzmaßnahmen
Bentley empfiehlt, die neuesten Versionen von MicroStation und MicroStation-basierten Anwendungen zu verwenden. Generell wird empfohlen, nur 3DM-Dateien zu öffnen, die aus vertrauenswürdigen Quellen stammen.
Danksagung
Vielen Dank an Mat Powell von der Trend Micro Zero Day Initiative für die Entdeckung dieser Schwachstellen.
Revision History
| Date | Beschreibung |
| 05.04.2022 | Erste Version dieses Hinweises |
