BE-2022-0003: 3DS File Parsing Out-Of-Bounds Read in MicroStation and MicroStation-based applications
Bentley-ID: BE-2022-0003
CVE-ID: CVE-2022-28308, CVE-2022-28309, CVE-2022-28312, CVE-2022-28313
Schweregrad: 3.3
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Veröffentlichungsdatum: 05.04.2022
Überarbeitungsdatum: 05.04.2022
Zusammenfassung
MicroStation und MicroStation-basierte Anwendungen können beim Öffnen von in böser Absicht erstellten 3DS-Dateien von Schwachstellen durch Lesen außerhalb des zulässigen Bereichs betroffen sein. Die Ausnutzung dieser Schwachstellen kann zur Offenlegung von Informationen führen.
Details
Die folgenden Schwachstellen im Zusammenhang mit dieser Empfehlung wurden von TrendMicro ZDI entdeckt: ZDI-CAN-16307, ZDI-CAN-16308, ZDI-CAN-16342 und ZDI-CAN-16343. Die Verwendung einer betroffenen Version von MicroStation oder einer MicroStation-basierten Anwendung zum Öffnen einer 3DS-Datei, die in böser Absicht erstellte Daten enthält, kann ein Lesen außerhalb des zulässigen Bereichs erzwingen. Die Ausnutzung dieser Schwachstellen beim Parsen von 3DS-Dateien könnte die Offenlegung von Informationen im Zusammenhang mit dem aktuellen Prozess ermöglichen.
Affected Versions
| Applications | Affected Versions | Mitigated Versions |
| MicroStation | 10.16.02.* und frühere Versionen | 10.16.03.* and more recent |
| Bentley View | 10.16.02.* und frühere Versionen | 10.16.03.* and more recent |
Empfohlene Schutzmaßnahmen
Bentley empfiehlt, die neuesten Versionen von MicroStation und MicroStation-basierten Anwendungen zu verwenden. Generell wird empfohlen, nur 3DS-Dateien zu öffnen, die aus vertrauenswürdigen Quellen stammen.
Danksagung
Vielen Dank an Mat Powell von der Trend Micro Zero Day Initiative für die Entdeckung dieser Schwachstellen.
Revision History
| Date | Beschreibung |
| 05.04.2022 | Erste Version dieses Hinweises |
