BE-2022-0007: JP2 File Parsing Out-of-bounds Write in MicroStation and MicroStation-based applications
Bentley-ID: BE-2022-0007
CVE-ID: CVE-2022-28300
Schweregrad: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Veröffentlichungsdatum: 05.04.2022
Überarbeitungsdatum: 05.04.2022
Zusammenfassung
MicroStation und MicroStation-basierte Anwendungen können beim Öffnen von in böser Absicht erstellte JP2-Dateien von Schwachstellen durch Schreiben außerhalb des zulässigen Bereichs betroffen sein. Die Ausnutzung dieser Schwachstellen kann zur Codeausführung führen.
Details
Die folgenden Schwachstellen im Zusammenhang mit diesem Hinweis wurden von TrendMicro ZDI entdeckt: ZDI-CAN-16202. ie Verwendung einer betroffenen Version von MicroStation oder einer MicroStation-basierten Anwendung zum Öffnen einer JP2-Datei, die in böser Absicht erstellte Daten enthält, kann ein Schreiben außerhalb des zulässigen Bereichs erzwingen. Die Ausnutzung dieser Schwachstelle beim Parsen von JP2-Dateien könnte es einem Angreifer ermöglichen, beliebigen Code im Kontext des aktuellen Prozesses auszuführen.
Affected Versions
| Applications | Affected Versions | Mitigated Versions |
| MicroStation | 10.16.02.* und frühere Versionen | 10.16.03.* and more recent |
| Bentley View | 10.16.02.* und frühere Versionen | 10.16.03.* and more recent |
Empfohlene Abhilfemaßnahmen
Bentley empfiehlt, die neuesten Versionen von MicroStation und MicroStation-basierten Anwendungen zu verwenden. Generell wird empfohlen, nur JP2-Dateien zu öffnen, die aus vertrauenswürdigen Quellen stammen.
Danksagung
Vielen Dank an Anonymous in Zusammenarbeit mit der Trend Micro Zero Day Initiative für die Entdeckung dieser Schwachstelle.
Revision History
| Date | Beschreibung |
| 05.04.2022 | Erste Version dieses Hinweises |
