BE-2021-0010: MicroStationおよびMicroStationベースのアプリケーションにおける境界外読み取りの脆弱性

Bentley ID: BE-2021-0010
CVE ID: CVE-2021-34902、CVE-2021-34916、CVE-2021-46593、CVE-2021-46594、CVE-2021-46608、CVE-2021-46624
重大度: 3.3
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
公開日: 2021-12-07
改訂日: 2021-12-07

概要
MicroStationおよびMicroStationベースのアプリケーションで、悪意のあるPNGファイルを開くと、境界外読み取りの脆弱性の影響を受けることがあります。これらの脆弱性が悪用されて、コードが実行されることがあります。

詳細
この勧告に関連してTrendMicro ZDIによって発見された脆弱性は、ZDI-CAN-14875、ZDI-CAN-14894、ZDI-CAN-15387、ZDI-CAN-15388およびZDI-CAN-15402、ZDI-CAN-15454です。脆弱性の影響を受けるバージョンのMicroStationまたはMicroStationベースのアプリケーションを使用して、悪意のあるデータが含まれるDWGファイルを開くと、境界外読み取りが強制実行されることがあります。DWGファイルの解析に内在するこれらの脆弱性を悪用し、攻撃者が現在のプロセスのコンテキスト内で任意のコードを実行することがあります。

影響を受けるバージョン

推奨される軽減策
Bentleyでは、MicroStationおよびMicroStationベースのアプリケーションを最新バージョンにアップデートすることを推奨しています。また、一般的なベストプラクティスとして、信頼できるソースから入手したDWGファイルのみを開くことが推奨されています。

謝辞
これらの脆弱性の発見者であるTrend Micro Zero Day InitiativeのMat Powell様に厚くお礼申し上げます。

改訂履歴