BE-2021-0014: MicroStationおよびMicroStationベースのアプリケーションにおける解放済みメモリ使用の脆弱性
Bentley ID: BE-2021-0014
CVE ID: CVE-2021-34872
重大度: 7.8
CVSS v3.1: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
公開日: 2021-12-07
改訂日: 2021-12-07
概要
MicroStationおよびMicroStationベースのアプリケーションで、悪意のあるSKPファイルを開くと、解放済みメモリ使用(Use-After-Free)の脆弱性の影響を受けることがあります。この脆弱性が悪用されて、コードが実行されることがあります。
詳細
この勧告に関連してTrendMicro ZDIによって発見された脆弱性は、ZDI-CAN-14737です。脆弱性の影響を受けるバージョンのMicroStationまたはMicroStationベースのアプリケーションを使用して、悪意のあるデータが含まれるSKPファイルを開くと、解放済みメモリ使用(Use-After-Free)の脆弱性が露呈することがあります。SKPファイルの解析に内在するこの脆弱性を悪用し、攻撃者が現在のプロセスのコンテキスト内で任意のコードを実行することがあります。
影響を受けるバージョン
用途 | 影響を受けるバージョン | 軽減されているバージョン |
MicroStation | 10.16.02.*以前のバージョン | 10.16.02.*以降 |
Bentley View | 10.16.02.*以前のバージョン | 10.16.02.*以降 |
推奨される軽減策
Bentleyでは、MicroStationおよびMicroStationベースのアプリケーションを最新バージョンにアップデートすることを推奨しています。また、一般的なベストプラクティスとして、信頼できるソースから入手したSKPファイルのみを開くことが推奨されています。
謝辞
この脆弱性を発見してくれたFrancis Provencher {PRL}に感謝します。
改訂履歴
日付 | 製品名 |
2021-12-07 | この勧告の初版 |