BE-2021-0003: MicroStationおよびMicroStationベースのアプリケーションにおける境界外読み取り／書き込みおよび解放済みメモリ使用の脆弱性

Bentley ID: BE-2021-0003
CVE ID: CVE-2021-34873、CVE-2021-34887、CVE-2021-46599、CVE-2021-46609、CVE-2021-46612、CVE-2021-46619、CVE-2021-46633
重大度:7.8
CVSS v3.1:AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
公開日: 2021-12-07
改訂日: 2021-12-07

概要
MicroStationおよびMicroStationベースのアプリケーションで、悪意のあるPDFファイルを開くと、境界外読み取りまたは解放済みメモリ使用の脆弱性の影響を受けることがあります。これらの脆弱性が悪用されて、コードが実行されることがあります。

詳細
この勧告に関連してTrendMicro ZDIによって発見された脆弱性は、ZDI-CAN-14696、ZDI-CAN-14840、ZDI-CAN-15393、ZDI-CAN-15403、ZDI-CAN-15406、ZDI-CAN-15413、ZDI-CAN-15463です。脆弱性の影響を受けるバージョンのMicroStationまたはMicroStationベースのアプリケーションを使用して、悪意のあるデータが含まれるPDFファイルを開くと、境界外読み取りまたは解放済みメモリ使用（Use-After-Free）の脆弱性が露呈することがあります。PDFファイルの解析に内在するこれらの脆弱性を悪用し、攻撃者が現在のプロセスのコンテキスト内で任意のコードを実行することがあります。

影響を受けるバージョン

推奨される軽減策
Bentleyでは、MicroStationおよびMicroStationベースのアプリケーションを最新バージョンにアップデートすることを推奨しています。また、一般的なベストプラクティスとして、信頼できる送信元から送られてきたPDFファイルのみを開くことが推奨されています。

謝辞
ZDI-CAN-14696を発見してくれたFrancis Provencher {PRL}に感謝します。この勧告に関連したその他の脆弱性の発見者であるTrend Micro Zero Day InitiativeのMat Powell様に厚くお礼申し上げます。

改訂履歴