Autodesk ID: ADSK-SA-2022-0009
产品,服务,组件:Autodesk®设计评论
影响:超限写,超限读,双重免费
严重程度:高
原始发布日期:2022年4月28日
最后修订日期:2022年4月28日
Autodesk信任中心
安全咨询
警告用于传达与Autodesk®产品和服务识别的漏洞相关的信息。beplay官网客服电话这包括适用于受影响产品的任何修复程序或工作区。
Autodesk®设计评审软件中的多个漏洞
严重程度 |
CVSS 3.0评分 |
影响 |
|---|---|---|
低 |
0.1 - 3.9 |
一种利用范围和影响受到限制,利用能力极其困难的漏洞。 |
媒介 |
4.0 - 6.9 |
一种由于难以利用、默认配置或易于识别等因素而减轻利用的漏洞。 |
高 |
7.0 - 8.9 |
漏洞一旦被利用,将直接影响用户数据或处理资源的保密性、完整性或可用性。 |
至关重要的 |
9.0 - 10 |
一个漏洞,如果被利用,将允许远程执行恶意代码而不需要用户操作。 |
总结
使用Autodesk Design Review的应用程序和服务可能会受到双重自由和超出限制的读/写漏洞的影响。利用这些漏洞可能导致远程代码执行。
描述
漏洞详细信息如下:
1)cve - 2022 - 27864- Double Free漏洞允许远程攻击者通过DesignReview.exe应用程序在受影响的安装中的PDF文件上执行任意代码。利用此漏洞需要用户交互,因为目标必须访问恶意页面或打开恶意文件。
2)cve - 2022 - 27865-在解析TGA和PCX文件时,恶意制作的TGA或PCX文件可能被用来通过DesignReview.exe应用程序写超出分配的缓冲区。此漏洞可能被用来执行任意代码。
3)cve - 2022 - 27866-通过DesignReview.exe应用程序使用恶意制作的TIFF文件时,可以在解析TIFF文件时强制读取超出分配的边界。此漏洞与其他漏洞一起可能导致在当前流程上下文中执行代码。
受影响的产品beplay官网客服电话
项 |
影响版本 |
减轻版本* |
更新源 |
|---|---|---|---|
Autodesk®设计评论 |
2018、2017、2013、2012、2011 |
2018 Hotfix 6 |
*注:产品列表表内容可能会随时更改。
建议
Autodesk强烈建议《Autodesk Design Review 2018》及更早版本的用户下载并安装上述引用的安全修复程序Autodesk知识网络.拥有Autodesk Design Review 2013或更早版本的客户将需要升级到版本2018或更高版本Autodesk知识网络篇文章。
使用以前版本的客户不再有资格获得全面支持,应该计划尽快升级到受支持的版本,以避免停机和潜在的安全漏洞。参观Autodesk知识网络有关以前版本支持的详细信息。
确认
我们要感谢以下研究人员 ,他们报告了 的相关问题,并与Autodesk合作,帮助保护我们的客户:
- Venustech的ADLab与HackerOne合作报告CVE-2022-27865, CVE-2022-27866
- Mil1200与HackerOne合作报告CVE-2022-27864
相关信息
有关保安建议的更多资料,请浏览Autodesk信任中心.
修订历史
修订 |
日期 |
描述 |
|---|---|---|
1.0 |
04/28/2022 |
描述:安全咨询的初始版本 |
免责声明
本文档中的信息是“按现状”提供的,与autodesk®产品有关。beplay官网客服电话欧特克和/或其各自的子公司、联属公司、供应商和许可方及其董事、高级职员、雇员、代理和代表对本网站、本网站所包含的任何产品和服务,或本网站上发布的材料、信息、内容、文件和相关图形所包含的信息的适用性,不作任何陈述。beplay官网客服电话本网站、通过本网站获得的任何beplay官网客服电话产品或服务(包括但不限于第三方产品和服务),以及所有此类信息、内容、文件和相关图形,均由您自行承担使用风险,并“按原样”提供,不提供任何形式的保证。欧特克和/或其各自的子公司、联属公司、供应商和许可方在此放弃关于本网站、此类产品和服务以及此类信息、内容、文件和相关图形的所有担保和条件,包括所有关于适销性、适合特定用途、标题和不侵权的默示担保和条件。beplay官网客服电话
©2022,Autodesk, Inc.
