首頁 > 安全研究 > 安全通報 > 安全通告

Autodesk FBX|多個安全漏洞通告

發布時間 2020-04-24

0x00 漏洞概述



產品

CVE ID

類 型

漏洞等級

遠程利用

Autodesk FBX-SDK <= 2019.0

CVE-2020-7080

BO

高危

CVE-2020-7081

TC

高危

CVE-2020-7082

UAF

高危

CVE-2020-7083

IO

中危

CVE-2020-7084

NPD

中危

Autodesk FBX-SDK <= 2019.2

CVE-2020-7085

HO

高危


0x01 漏洞詳情


Autodesk FBX-SDK是美國歐特克(Autodesk)公司的一款C++軟件開發平臺和API工具包,它主要用于將現有內容轉換為FBX格式。

4月15日,Autodesk官方發布公告表明利用FBX-SDK <= 2020.0版本的應用程序和服務可能會受到緩沖區溢出,類型混淆,釋放后重用,整數溢出,空指針解引用和堆溢出漏洞的影響。漏洞具體信息如下:

CVE-2020-7080 是Autodesk FBX-SDK緩沖區溢出漏洞。攻擊者可能會誘騙用戶打開一個惡意FBX文件,導致在系統上執行任意代碼。CVSS評分7.8。

CVE-2020-7081 是Autodesk FBX-SDK類型混淆漏洞。攻擊者可能會誘騙用戶打開一個惡意FBX文件,導致其讀取/寫入越界內存位置或在系統上運行任意代碼,或者導致拒絕服務。CVSS評分8.8。

CVE-2020-7082 是Autodesk FBX-SDK釋放后重用漏洞。攻擊者可能會誘騙用戶打開一個惡意FBX文件,導致該應用程序引用由未經授權的第三方控制的內存位置,在系統上運行任意代碼。CVSS評分8.8。

CVE-2020-7083 是Autodesk FBX-SDK整數溢出漏洞。攻擊者可能會誘騙用戶打開一個惡意FBX文件,使應用程序崩潰導致拒絕服務。CVSS評分6.5。

CVE-2020-7084 是Autodesk FBX-SDK 空指針解引用漏洞。攻擊者可能會誘騙用戶打開一個惡意FBX文件,使應用程序崩潰導致拒絕服務。CVSS評分5.5。

CVE-2020-7085 是Autodesk FBX-SDK 堆溢出漏洞。攻擊者可能會誘騙用戶打開一個惡意FBX文件,該文件將通過更改FBX文件中的某些值來調用有堆溢出漏洞的FBX解析器來獲取有限的代碼執行,從而導致在系統上運行任意代碼。CVSS評分7.8。


0x02 處置建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://www.autodesk.com/trust/security-advisories/adsk-sa-2020-0002


0x03 相關新聞


https://www.securityweek.com/microsoft-out-band-advisory-addresses-autodesk-fbx-vulnerabilities


0x04 參考鏈接


https://www.autodesk.com/trust/security-advisories/adsk-sa-2020-0002

https://nvd.nist.gov/vuln/detail/CVE-2020-7080

https://nvd.nist.gov/vuln/detail/CVE-2020-7081

https://nvd.nist.gov/vuln/detail/CVE-2020-7082

https://nvd.nist.gov/vuln/detail/CVE-2020-7083

https://nvd.nist.gov/vuln/detail/CVE-2020-7084

https://nvd.nist.gov/vuln/detail/CVE-2020-7085


0x05 時間線


2020-04-15 Autodesk官方公布漏洞

2020-04-24 VSRC發布漏洞通告




上一篇 下一篇