BE-2021-0004: MicroStationおよびMicroStationベースのアプリケーションにおける境界外読み取り／書き込みおよび解放済みメモリ使用の脆弱性

Bentley ID: BE-2021-0004
CVE ID: CVE-2021-34874、 CVE-2021-34875、CVE-2021-34880、CVE-2021-34889、 CVE-2021-34894、CVE-2021-34895、 CVE-2021-34901、 CVE-2021-34911、 CVE-2021-46575、CVE-2021-46586, CVE-2021-46587、CVE-2021-46592、CVE-2021-46595、CVE-2021-46602、CVE-2021-46607, CVE-2021-46623
重大度: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
公開日: 2021-12-07
改訂日:2021-12-07

概要
MicroStationおよびMicroStationベースのアプリケーションで、悪意のある3DSファイルを開くと、境界外読み取りおよび解放済みメモリ使用の脆弱性の影響を受けることがあります。これらの脆弱性が悪用されて、コードが実行されることがあります。

詳細
この勧告に関連する次の脆弱性は、TrendMicro ZDI によって発見されました: ZDI-CAN-14736、ZDI-CAN-14827、 ZDI-CAN-14833、ZDI-CAN-14842、 ZDI-CAN-14847、 ZDI-CAN-14862、ZDI-CAN-14874、 ZDI-CAN-14884、ZDI-CAN-15369、 ZDI-CAN-15380、ZDI-CAN-15381、ZDI-CAN-15386、ZDI-CAN-15389、ZDI-CAN-15396、ZDI-CAN-15401、ZDI-CAN-15453脆弱性の影響を受けるバージョンのMicroStationまたはMicroStationベースのアプリケーションを使用して、悪意のあるデータが含まれる3DSファイルを開くと、境界外読み取りまたは解放済みメモリ使用（Use-After-Free）が強制実行されることがあります。3DSファイルの解析に内在するこれらの脆弱性を悪用し、攻撃者が現在のプロセスのコンテキスト内で任意のコードを実行することがあります。

影響を受けるバージョン

推奨される軽減策
Bentleyでは、MicroStationおよびMicroStationベースのアプリケーションを最新バージョンにアップデートすることを推奨しています。一般的なベストプラクティスとして、信頼できるソースから入手した3DSファイルのみを開くことが推奨されています。

謝辞
ZDI-CAN-14736を発見してくれたFrancis Provencher {PRL}に感謝します。この勧告に関連したその他の脆弱性の発見者であるTrend Micro Zero Day InitiativeのMat Powell様に厚くお礼申し上げます。

改訂履歴