BE-2022-0006: IFC File Parsing Vulnerabilities in MicroStation and MicroStation-based applications
ID de Bentley: BE-2022-0006
CVE ID: CVE-2022-28314, CVE-2022-28315, CVE-2022-28316, CVE-2022-28317, CVE-2022-28318, CVE-2022-28641, CVE-2022-28301, CVE-2022-28302, CVE-2022-28646, CVE-2022-28647, CVE-2022-1229
Gravedad: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Fecha de publicación: 05-04-2022
Fecha de revisión: 05-04-2022
Resumen
MicroStation y las aplicaciones basadas en MicroStation pueden verse afectadas por las vulnerabilidades de análisis de archivos IFC cuando se abren archivos IFC maliciosos. Explotar estas vulnerabilidades podría conducir a la ejecución de código.
Detalles
Las siguientes vulnerabilidades relacionadas con este aviso fueron descubiertas por TrendMicro ZDI: ZDI-CAN-16332, ZDI-CAN-16367, ZDI-CAN-16368, ZDI-CAN-16369, ZDI-CAN-16379, ZDI-CAN-16390, ZDI-CAN-16392, ZDI-CAN-16446, ZDI-CAN-16570, ZDI-CAN-16573 y ZDI-CAN-16581. El uso de una versión afectada de MicroStation o de una aplicación basada en MicroStation para abrir un archivo IFC que contenga datos malintencionados puede forzar una vulnerabilidad de lectura o escritura fuera de los límites permitidos, un desbordamiento de pilas o una variable no iniciada. Explotar estas vulnerabilidades en el análisis de archivos IFC podría permitir a un atacante ejecutar código arbitrario en el contexto del proceso actual.
Versiones afectadas
Aplicaciones | Versiones afectadas | Versiones con menor vulnerabilidad |
MicroStation | 10.16.02.* y versiones anteriores | 10.16.03.* y más reciente |
Bentley View | 10.16.02.* y versiones anteriores | 10.16.03.* y más reciente |
Mitigaciones recomendadas
Bentley recomienda actualizar a las últimas versiones de MicroStation y aplicaciones basadas en MicroStation. Como mejor práctica general, también se recomienda abrir solo los archivos IFC que provengan de fuentes de confianza.
Reconocimiento
Gracias a Mat Powell y a Anonymous de Trend Micro Zero Day Initiative por descubrir estas vulnerabilidades.
Historial de revisiones
Fecha | Descripción |
04-05-2022 | Primera versión de este aviso |