BE-2021-0011: vulnerabilidades de memoria (use-after-free) en MicroStation y aplicaciones basadas en MicroStation
ID de Bentley: BE-2021-0011
ID de CVE: CVE-2021-46613, CVE-2021-46627
Gravedad: 7.8
CVSS v3.1:
AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H Fecha de publicación: 07-12-2021
Fecha de revisión: 07-12-2021
Resumen
MicroStation y las aplicaciones basadas en MicroStation pueden verse afectados por vulnerabilidades de memoria cuando se abren archivos DXF malintencionados. Explotar estas vulnerabilidades podría conducir a la ejecución de código.
Detalles
Las siguientes vulnerabilidades relacionadas con este aviso fueron descubiertas por TrendMicro ZDI: ZDI-CAN-15407, ZDI-CAN-15457. El uso de una versión afectada de MicroStation o de una aplicación basada en MicroStation para abrir un archivo DXF que contenga datos malintencionados puede desencadenar vulnerabilidades de memoria. Explotar estas vulnerabilidades en el análisis de archivos DXF podría permitir a un atacante ejecutar código arbitrario en el contexto del proceso actual.
Versiones afectadas
| Aplicaciones | Versiones afectadas | Versiones con menor vulnerabilidad |
| MicroStation | Versiones anteriores a 10.16.02.* | 10.16.02.* y más reciente |
| Bentley View | Versiones anteriores a 10.16.02.* | 10.16.02.* y más reciente |
Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y las aplicaciones basadas en MicroStation. Como mejor práctica general, también se recomienda abrir sólo los archivos DXF que provengan de fuentes de confianza.
Agradecimiento
Gracias a Mat Powell de Trend Micro Zero Day Initiative por descubrir estas vulnerabilidades.
Historial de revisiones
| Fecha | Descripción |
| 12-07-2021 | Primera versión de este aviso |
| 02-04-2022 | Adición de nuevos números de Exposición a Vulnerabilidades Comunes (número CVE) proporcionado por ZDI |
