Fecha de publicación: 03/04/2023
Importancia:
Alta
Recursos afectados:
- Autodesk Maya USD Plugin, versión 0.22.0 y anteriores.
- Autodesk® FBX® SDK, versión 2020.
Descripción:
Mat Powell de Trend Micro Zero Day Initiative, y cbgabriel junto al MSRC team, han informado de 6 vulnerabilidades de severidad alta. La explotación de estas vulnerabilidades podría permitir a un atacante realizar una ejecución de código, una denegación de servicio o una divulgación de información.
Solución:
- Autodesk Maya USD Plugin: actualizar a la versión 0.23.0.
- Autodesk® FBX® SDK: actualizar a la versión 2020.3.4.
Detalle:
- Un actor malicioso puede engañar a una víctima objetivo, para que abra un archivo USD malicioso permitiendo:
- Activar una variable no inicializada que podría dar lugar a una ejecución de código. Se ha asignado el identificador CVE-2023-25010 para esta vulnerabilidad.
- Desencadenar una lectura fuera de los límites establecidos, lo que podría dar lugar a una ejecución de código. Se ha asignado el identificador CVE-2023-27906 para esta vulnerabilidad.
- Desencadenar una escritura fuera de los límites establecidos, lo que podría dar lugar a una ejecución de código. Se ha asignado el identificador CVE-2023-27907 para esta vulnerabilidad.
- Una vulnerabilidad de escritura fuera de los límites que podría conducir a la ejecución de código a través de archivos FBX maliciosamente diseñados o a la divulgación de información. Se ha asignado el identificador CVE-2023-27909 para esta vulnerabilidad.
- Un usuario puede ser engañado para abrir un archivo FBX malicioso, que puede explotar una vulnerabilidad de desbordamiento de búfer de pila, lo que podría conducir a la ejecución de código. Se ha asignado el identificador CVE-2023-27910 para esta vulnerabilidad.
- Un usuario puede ser engañado para abrir un archivo FBX malicioso, que puede explotar una vulnerabilidad de desbordamiento de búfer en el montículo (heap), lo que podría conducir a la ejecución de código. Se ha asignado el identificador CVE-2023-27911 para esta vulnerabilidad.
Etiquetas:
Actualización, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.