BE-2021-0015: uso de memoria no inicializada en MicroStation y en aplicaciones basadas en MicroStation
ID de Bentley: BE-2021-0015
ID de CVE: CVE-2021-46617, CVE-2021-46631
Gravedad: 7.8
CVSS v3.1:
AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H Fecha de publicación: 07-12-2021
Fecha de revisión: 07-12-2021
Resumen
MicroStation y las aplicaciones basadas en MicroStation pueden verse afectadas por vulnerabilidades de memoria no iniciada cuando se abren archivos TIF malintencionados. Explotar estas vulnerabilidades podría conducir a la ejecución de código.
Detalles
Las siguientes vulnerabilidades relacionadas con este aviso fueron descubiertas por TrendMicro ZDI: ZDI-CAN-15411, ZDI-CAN-15461. El uso de una versión afectada de MicroStation o de una aplicación basada en MicroStation para abrir un archivo TIF que contenga datos malintencionados puede desencadenar una vulnerabilidad de memoria no inicializada Explotar estas vulnerabilidades en el análisis de archivos TIF podría permitir a un atacante ejecutar código arbitrario en el contexto del proceso actual.
Versiones afectadas
| Aplicaciones | Versiones afectadas | Versiones con menor vulnerabilidad |
| MicroStation | Versiones anteriores a 10.16.02.* | 10.16.02.* y más reciente |
| Bentley View | Versiones anteriores a 10.16.02.* | 10.16.02.* y más reciente |
Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y las aplicaciones basadas en MicroStation. Como mejor práctica general, también se recomienda abrir sólo los archivos TIF que provengan de fuentes de confianza.
Agradecimiento
Gracias a Mat Powell de Trend Micro Zero Day Initiative por descubrir esta vulnerabilidad.
Historial de revisiones
| Fecha | Descripción |
| 12-07-2021 | Primera versión de este aviso |
| 02-04-2022 | Adición de nuevos números de Exposición a Vulnerabilidades Comunes (número CVE) proporcionados por ZDI |
