BE-2021-0003: vulnerabilidades de fuera de los límites permitidos y de memoria (use-after-free) en MicroStation y aplicaciones basadas en MicroStation

ID de Bentley: BE-2021-0003
CVE ID: CVE-2021-34873, CVE-2021-34887, CVE-2021-46599, CVE-2021-46609, CVE-2021-46612, CVE-2021-46619, CVE-2021-46633
Severity: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Fecha de publicación: 07-12-2021
Fecha de revisión: 07-12-2021

Resumen
MicroStation y las aplicaciones basadas en MicroStation pueden verse afectadas por vulnerabilidades de fuera de los límites permitidos y de memoria cuando se abren archivos PDF malintencionados. Explotar estas vulnerabilidades podría conducir a la ejecución de código.

Detalles
Las siguientes vulnerabilidades relacionadas con esta asesoría las descubrió TrendMicro ZDI: ZDI-CAN-14696, ZDI-CAN-14840, ZDI-CAN-15393, ZDI-CAN-15403, ZDI-CAN-15406, ZDI-CAN-15413, ZDI-CAN-15463. El uso de una versión afectada de MicroStation o de una aplicación basada en MicroStation para abrir un archivo PDF que contenga datos malintencionados puede desencadenar una vulnerabilidad de fuera de los límites permitidos o de memoria. Explotar estas vulnerabilidades en el análisis de archivos PDF podría permitir a un atacante ejecutar código arbitrario en el contexto del proceso actual.

Versiones afectadas

Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y las aplicaciones basadas en MicroStation. Como mejor práctica general, también se recomienda abrir solo los archivos PDF que provengan de fuentes de confianza.

Reconocimiento
Gracias a Francis Provencher {PRL} por descubrir ZDI-CAN-14696. Gracias a Mat Powell de Zero Day Initiative de Trend Micro por descubrir el resto de las vulnerabilidades relacionadas con este aviso

Historial de revisiones