Inicio / Alerta Temprana / Avisos Sci / Ejecución arbitraria de código en productos de Open Design Alliance

Ejecución arbitraria de código en productos de Open Design Alliance

Fecha de publicación: 
01/12/2021
Importancia: 
4 - Alta
Recursos afectados: 

ODAViewer.

Descripción: 

Los investigadores, Xina1i y Mat Powell, de Trend Micro Zero Day Initiative, han reportado 3 vulnerabilidades de severidad alta por las que un atacante remoto podría realizar una ejecución arbitraria de código.

Solución: 

Open Design Alliance (ODA) ha publicado una actualización para corregir esta vulnerabilidad. Se pueden encontrar más detalles en ODA Security Advisories.

Detalle: 

Es necesaria la interacción de un usuario, ya que este debe visitar una página maliciosa o abrir un archivo malicioso.

El fallo específico se produce en el parseo de los archivos DWF y DGN. El problema se debe a la falta de validación adecuada de la longitud de los datos suministrados por el usuario antes de copiarlos en un búfer basado en pila (stack), pudiendo aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Se han asignado los identificadores CVE-2021-43272, CVE-2021-43391 y CVE-2021-43390 para estas vulnerabilidades.

Encuesta valoración