BE-2022-0003: lectura fuera de los límites permitidos al realizar el análisis sintáctico de archivos 3DS en MicroStation y aplicaciones basadas en MicroStation
ID DE Bentley: BE-2022-0003
CVE ID: CVE-2022-28308, CVE-2022-28309, CVE-2022-28312, CVE-2022-28313
Gravedad: 3.3
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Fecha de publicación: 05-04-2022
Fecha de revisión: 05-04-2022
Resumen
MicroStation y las aplicaciones basadas en MicroStation pueden verse afectados por vulnerabilidades de lectura fuera de los límites permitidos cuando se abren archivos 3DS malintencionados. Explotar estas vulnerabilidades podría conducir a la divulgación de información.
Detalles
Las siguientes vulnerabilidades relacionadas con este aviso las descubrió TrendMicro ZDI: ZDI-CAN-16307, ZDI-CAN-16308, ZDI-CAN-16342 y ZDI-CAN-16343. El uso de una versión afectada de MicroStation o de una aplicación basada en MicroStation para abrir un archivo 3DS que contenga datos malintencionados puede forzar una lectura fuera de los límites permitidos. La explotación de estas vulnerabilidades en el análisis de archivos 3DS podría permitir que se divulgue información en el contexto del proceso actual.
Versiones afectadas
| Aplicaciones | Versiones afectadas | Versiones con menor vulnerabilidad |
| MicroStation | 10.16.02.* y versiones anteriores | 10.16.03.* y más reciente |
| Bentley View | 10.16.02.* y versiones anteriores | 10.16.03.* y más reciente |
Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y aplicaciones basadas en MicroStation. Como práctica recomendada general, también se aconseja abrir solo los archivos 3DS que provengan de fuentes de confianza.
Agradecimiento
Gracias a Mat Powell de Trend Micro Zero Day Initiative por descubrir estas vulnerabilidades.
Historial de revisiones
| Fecha | Descripción |
| 04-05-2022 | Primera versión de este aviso |
