BE-2022-0009: SKP File Parsing Use-After-Free vulnerabilities in MicroStation and MicroStation-based applications
Bentley-ID: BE-2022-0009
CVE-ID: CVE-2022-28303, CVE-2022-28310
Schweregrad: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Veröffentlichungsdatum: 05.04.2022
Überarbeitungsdatum: 05.04.2022
Zusammenfassung
MicroStation und MicroStation-basierte Anwendungen können durch Schwachstellen des Typs „Use-after-free“ betroffen sein, wenn in böser Absicht erstellte SKP-Dateien geöffnet werden. Die Ausnutzung dieser Schwachstellen kann zur Codeausführung führen.
Details
Die folgenden Schwachstellen im Zusammenhang mit diesem Hinweis wurden von TrendMicro ZDI entdeckt: ZDI-CAN-16280 and ZDI-CAN-16339. Wenn Sie eine betroffene Version von MicroStation oder einer MicroStation-basierten Anwendung zum Öffnen einer SKP-Datei mit in böser Absicht erstellten Daten verwenden, kann dies zu einer Schwachstelle des Typs „Use-after-free“ führen. Die Ausnutzung dieser Schwachstellen beim Parsen von SKP-Dateien könnte es einem Angreifer ermöglichen, beliebigen Code im Kontext des aktuellen Prozesses auszuführen.
Affected Versions
| Applications | Affected Versions | Mitigated Versions |
| MicroStation | 10.16.02.* und frühere Versionen | 10.16.03.* and more recent |
| Bentley View | 10.16.02.* und frühere Versionen | 10.16.03.* and more recent |
Empfohlene Abhilfemaßnahmen
Bentley empfiehlt, die neuesten Versionen von MicroStation und MicroStation-basierten Anwendungen zu verwenden. Generell wird empfohlen, nur SKP-Dateien zu öffnen, die aus vertrauenswürdigen Quellen stammen.
Danksagung
Vielen Dank an Mat Powell von der Trend Micro Zero Day Initiative für die Entdeckung dieser Schwachstellen.
Revision History
| Date | Beschreibung |
| 05.04.2022 | Erste Version dieses Hinweises |
