BE-2021-0014: vulnerabilidades de memoria (use-after-free) en MicroStation y aplicaciones basadas en MicroStation
ID de Bentley: BE-2021-0014
ID de CVE: CVE-2021-34872
Gravedad: 7.8
CVSS v3.1:
AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N Fecha de publicación:
07-12-2021 Fecha de revisión: 07-12-2021
Resumen
MicroStation y las aplicaciones basadas en MicroStation pueden verse afectados por una vulnerabilidad de memoria cuando se abren archivos SKP malintencionados. Explotar esta vulnerabilidad podría conducir a la ejecución de código.
Detalles
La siguiente vulnerabilidad relacionada con este aviso fue descubierta por TrendMicro ZDI: ZDI-CAN-14737. El uso de una versión afectada de MicroStation o de una aplicación basada en MicroStation para abrir un archivo SKP que contenga datos malintencionados puede desencadenar una vulnerabilidad de memoria. Explotar esta vulnerabilidad en el análisis de archivos SKP podría permitir a un atacante ejecutar código arbitrario en el contexto del proceso actual.
Versiones afectadas
| Aplicaciones | Versiones afectadas | Versiones con menor vulnerabilidad |
| MicroStation | Versiones anteriores a 10.16.02.* | 10.16.02.* y más reciente |
| Bentley View | Versiones anteriores a 10.16.02.* | 10.16.02.* y más reciente |
Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y aplicaciones basadas en MicroStation. Como mejor práctica general, también se recomienda abrir solo los archivos SKP que provengan de fuentes de confianza.
Reconocimiento
Gracias a Francis Provencher {PRL} por descubrir esta vulnerabilidad.
Historial de revisiones
| Fecha | Descripción |
| 12-07-2021 | Primera versión de este aviso |
