BE-2021-0008: Vulnerabilidades de fuera de los límites permitidos y de memoria (use-after-free) en MicroStation y aplicaciones basadas en MicroStation

ID de Bentley: BE-2021-0008
CVE ID: CVE-2021-34882, CVE-2021-34884, CVE-2021-34918, CVE-2021-34919, CVE-2021-46582, CVE-2021-46611, CVE-2021-46632
Severity: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Fecha de publicación: 07-12-2021
Fecha de revisión: 07-12-2021

Resumen
MicroStation y las aplicaciones basadas en MicroStation pueden verse afectadas por vulnerabilidades de fuera de los límites y de memoria cuando se abren archivos JP2 malintencionados. Explotar estas vulnerabilidades podría conducir a la ejecución de código.

Detalles
Las siguientes vulnerabilidades relacionadas con esta asesoría las descubrió TrendMicro ZDI: ZDI-CAN-14835, ZDI-CAN-14837, ZDI-CAN-14896, ZDI-CAN-14897, ZDI-CAN-15376, ZDI-CAN-15405, ZDI-CAN-15462. El uso de una versión afectada de MicroStation o de la aplicación basada en MicroStation para abrir un archivo JP2 que contenga datos malintencionados puede desencadenar una vulnerabilidad fuera de los límites o de memoria. Explotar estas vulnerabilidades en el análisis de archivos JP2 podría permitir a un atacante ejecutar un código arbitrario en el contexto del proceso actual.

Versiones afectadas

Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y aplicaciones basadas en MicroStation. Como práctica recomendada general, también se recomienda abrir solo los archivos JP2 que provengan de fuentes de confianza.

Agradecimiento
Gracias a Mat Powell de Trend Micro Zero Day Initiative por descubrir estas vulnerabilidades.

Historial de revisiones