Todos los avisos / BE-2021-0004

BE-2021-0004

BE-2021-0004: vulnerabilidades de fuera de los límites permitidos y de memoria (use-after-free) en MicroStation y aplicaciones basadas en MicroStation

Bentley ID: BE-2021-0004
CVE ID: CVE-2021-34874, CVE-2021-34875, CVE-2021-34880, CVE-2021-34889, CVE-2021-34894, CVE-2021-34895, CVE-2021-34901, CVE-2021-34911, CVE-2021-46575, CVE-2021-46586, CVE-2021-46587, CVE-2021-46592, CVE-2021-46595, CVE-2021-46602, CVE-2021-46607, CVE-2021-46623
Gravedad: 7.8
CVSS v3.1:
AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N Fecha de publicación:
07-12-2021 Fecha de revisión: 07-12-2021

Resumen
MicroStation y las aplicaciones basadas en MicroStation pueden verse afectadas por vulnerabilidades de fuera de los límites y de memoria cuando se abren archivos 3DS malintencionados. Explotar estas vulnerabilidades podría conducir a la ejecución de código.

Detalles
Las siguientes vulnerabilidades relacionadas con esta asesoría las descubrió TrendMicro ZDI: ZDI-CAN-14736, ZDI-CAN-14827, ZDI-CAN-14833, ZDI-CAN-14842, ZDI-CAN-14847, ZDI-CAN-14862, ZDI-CAN-14874, ZDI-CAN-14884, ZDI-CAN-15369, ZDI-CAN-15380, ZDI-CAN-15381, ZDI-CAN-15386, ZDI-CAN-15389, ZDI-CAN-15396. El uso de una versión afectada de MicroStation o de una aplicación basada en MicroStation para abrir un archivo 3DS que contenga datos malintencionados puede forzar una vulnerabilidad de fuera de los límites permitidos (out-of-bounds) o de memoria (use-after-free). Explotar estas vulnerabilidades en el análisis de archivos 3DS podría permitir a un atacante ejecutar código arbitrario en el contexto del proceso actual.

Versiones afectadas

Aplicaciones Versiones afectadas Versiones con menor vulnerabilidad
MicroStation Versiones anteriores a 10.16.02.* 10.16.02.* y más reciente
Bentley View Versiones anteriores a 10.16.02.* 10.16.02.* y más reciente

 

Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y aplicaciones basadas en MicroStation. Como práctica recomendada general, también se aconseja abrir solo los archivos 3DS que provengan de fuentes de confianza.

Reconocimiento
Gracias a Francis Provencher {PRL} por descubrir ZDI-CAN-14736. Gracias a Mat Powell de Zero Day Initiative de Trend Micro por descubrir el resto de las vulnerabilidades relacionadas con este aviso

Historial de revisiones

Fecha Descripción
12-07-2021 Primera versión de este aviso
02-04-2022 Adición de nuevos números de Exposición
a Vulnerabilidades Comunes (número CVE) proporcionados por ZDI
¿Necesita ayuda?
Opciones de accesibilidad
Volver arriba
Logo negro de Bentley Systems
Explorar

Software
Licencias y suscripciones
Mi cuenta/Crear perfil
Tienda de software
Recursos

Construya con nosotros
Profesores y estudiantes
Desarrolladores
Investigación de productos
Legal

Información legal
Centro de confianza

Empresa

Acerca de Bentley Systems
Carreras
Contáctenos
Inversionistas
Eventos
Year in Infrastructure
Factores ASG
COP

Historias y noticias

Noticias
Blog
Infrastructure Yearbook
Boletín informativo sobre moneda digital

Soporte

Centro de apoyo
Capacitación
Servicios
Bentley Communities

Inversiones
Fondo iTwin Ventures de Bentley
Empresas y socios
Socios de ventas y de capacitación
Seequent, The Bentley Subsurface Company
Cohesive
Cesium

Declaración de privacidad | Condiciones de uso | Cookies

Facebook LinkedIn YouTube Instagram
© 2024 Bentley Systems, incorporated

20 % de descuento en software de Bentley

La oferta termina el viernes

Use el código de cupón "THANKS24"

Compre ahora

Celebre la excelencia en la entrega y el rendimiento de la infraestructura

El Evento Year in Infrastructure y Premios Going Digital Awards 2024

¡Nomine un proyecto para los premios más prestigiosos en infraestructura! El plazo ampliado para participar termina el 29 de abril.

Nomine un proyecto