BE-2022-0006: IFC File Parsing Vulnerabilities in MicroStation and MicroStation-based applications

Bentley-ID: BE-2022-0006
CVE-ID: CVE-2022-28314, CVE-2022-28315, CVE-2022-28316, CVE-2022-28317, CVE-2022-28318, CVE-2022-28641, CVE-2022-28301, CVE-2022-28302, CVE-2022-28646, CVE-2022-28647, CVE-2022-1229
Schweregrad: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Veröffentlichungsdatum: 05.04.2022
Überarbeitungsdatum: 05.04.2022

Zusammenfassung
MicroStation und MicroStation-basierte Anwendungen können von Schwachstellen beim Parsen von IFC-Dateien betroffen sein, wenn in böser Absicht erstellte IFC-Dateien geöffnet werden. Die Ausnutzung dieser Schwachstellen kann zur Codeausführung führen.

Details
Die folgenden Schwachstellen im Zusammenhang mit diesem Hinweis wurden von TrendMicro ZDI entdeckt: ZDI-CAN-16332, ZDI-CAN-16367, ZDI-CAN-16368, ZDI-CAN-16369, ZDI-CAN-16379, ZDI-CAN-16390, ZDI-CAN-16392, ZDI-CAN-16446, ZDI-CAN-16570, ZDI-CAN-16573 und ZDI-CAN-16581. Die Verwendung einer betroffenen Version von MicroStation oder einer MicroStation-basierten Anwendung zum Öffnen einer IFC-Datei, die in böser Absicht erstellte Daten enthält, kann zu Lesen oder Schreiben außerhalb des zulässigen Bereichs, zu einem Stapelüberlauf oder zu nicht initialisierten Variablen führen. Die Ausnutzung dieser Schwachstellen beim Parsen von IFC-Dateien könnte es einem Angreifer ermöglichen, beliebigen Code im Kontext des aktuellen Prozesses auszuführen.

Affected Versions

Empfohlene Schutzmaßnahmen
Bentley empfiehlt, die neuesten Versionen von MicroStation und MicroStation-basierten Anwendungen zu verwenden. Generell wird empfohlen, nur IFC-Dateien zu öffnen, die aus vertrauenswürdigen Quellen stammen.

Danksagung
Vielen Dank an Mat Powell und Anonymous von der Trend Micro Zero Day Initiative für die Entdeckung dieser Schwachstellen.

Revision History