BE-2021-0006: MicroStationおよびMicroStationベースのアプリケーションにおける境界外読み取り／書き込みおよび解放済みメモリ使用の脆弱性

Bentley ID: BE-2021-0006
CVE ID: CVE-2021-34879、 CVE-2021-34883、CVE-2021-34900、CVE-2021-34906、 CVE-2021-34908、CVE-2021-34915、 CVE-2021-34917、 CVE-2021-46583、 CVE-2021-46584、CVE-2021-46603, CVE-2021-46614、CVE-2021-46622, CVE-2021-46626
重大度: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
公開日: 2021-12-07
改訂日:2021-12-07

概要
MicroStationおよびMicroStationベースのアプリケーションで、悪意のあるJ2Kファイルを開くと、境界外読み取りまたは解放済みメモリ使用の脆弱性の影響を受けることがあります。これらの脆弱性が悪用されて、コードが実行されることがあります。

詳細
この勧告に関連する次の脆弱性は、TrendMicro ZDI によって発見されました: ZDI-CAN-14832、ZDI-CAN-14836、 ZDI-CAN-14867、ZDI-CAN-14879、 ZDI-CAN-14881、 ZDI-CAN-14893、ZDI-CAN-14895、 ZDI-CAN-15377、ZDI-CAN-15378、 ZDI-CAN-15397、ZDI-CAN-15408、ZDI-CAN-15416、ZDI-CAN-15456脆弱性の影響を受けるバージョンのMicroStationまたはMicroStationベースのアプリケーションを使用して、悪意のあるデータが含まれるJ2Kファイルを開くと、境界外読み取りまたは解放済みメモリ使用の脆弱性が発動することがあります。J2Kファイルの解析に内在するこれらの脆弱性を悪用し、攻撃者が現在のプロセスのコンテキスト内で任意のコードを実行することがあります。

影響を受けるバージョン

推奨される軽減策
Bentleyでは、MicroStationおよびMicroStationベースのアプリケーションを最新バージョンにアップデートすることを推奨しています。また、一般的なベストプラクティスとして、信頼できる送信元から送られてきたJ2Kファイルのみを開くことが推奨されています。

謝辞
これらの脆弱性の発見者であるTrend Micro Zero Day InitiativeのMat Powell様に厚くお礼申し上げます。

改訂履歴