Autodesk FBX|多个安全漏洞通告
发布时间 2020-04-240x00 漏洞概述
产品 |
CVE ID |
类 型 |
漏洞等级 |
远程利用 |
Autodesk FBX-SDK <= 2019.0 |
CVE-2020-7080 |
BO |
高危 |
否 |
CVE-2020-7081 |
TC |
高危 |
否 |
|
CVE-2020-7082 |
UAF |
高危 |
否 |
|
CVE-2020-7083 |
IO |
中危 |
否 |
|
CVE-2020-7084 |
NPD |
中危 |
否 |
|
Autodesk FBX-SDK <= 2019.2 |
CVE-2020-7085 |
HO |
高危 |
否 |
0x01 漏洞详情
Autodesk FBX-SDK是美国欧特克(Autodesk)公司的一款C++软件开发平台和API工具包,它主要用于将现有内容转换为FBX格式。
4月15日,Autodesk官方发布公告表明利用FBX-SDK <= 2020.0版本的应用程序和服务可能会受到缓冲区溢出,类型混淆,释放后重用,整数溢出,空指针解引用和堆溢出漏洞的影响。漏洞具体信息如下:
CVE-2020-7080 是Autodesk FBX-SDK缓冲区溢出漏洞。攻击者可能会诱骗用户打开一个恶意FBX文件,导致在系统上执行任意代码。CVSS评分7.8。
CVE-2020-7081 是Autodesk FBX-SDK类型混淆漏洞。攻击者可能会诱骗用户打开一个恶意FBX文件,导致其读取/写入越界内存位置或在系统上运行任意代码,或者导致拒绝服务。CVSS评分8.8。
CVE-2020-7082 是Autodesk FBX-SDK释放后重用漏洞。攻击者可能会诱骗用户打开一个恶意FBX文件,导致该应用程序引用由未经授权的第三方控制的内存位置,在系统上运行任意代码。CVSS评分8.8。
CVE-2020-7083 是Autodesk FBX-SDK整数溢出漏洞。攻击者可能会诱骗用户打开一个恶意FBX文件,使应用程序崩溃导致拒绝服务。CVSS评分6.5。
CVE-2020-7084 是Autodesk FBX-SDK 空指针解引用漏洞。攻击者可能会诱骗用户打开一个恶意FBX文件,使应用程序崩溃导致拒绝服务。CVSS评分5.5。
CVE-2020-7085 是Autodesk FBX-SDK 堆溢出漏洞。攻击者可能会诱骗用户打开一个恶意FBX文件,该文件将通过更改FBX文件中的某些值来调用有堆溢出漏洞的FBX解析器来获取有限的代码执行,从而导致在系统上运行任意代码。CVSS评分7.8。
0x02 处置建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.autodesk.com/trust/security-advisories/adsk-sa-2020-0002
0x03 相关新闻
https://www.securityweek.com/microsoft-out-band-advisory-addresses-autodesk-fbx-vulnerabilities
0x04 参考链接
https://www.autodesk.com/trust/security-advisories/adsk-sa-2020-0002
https://nvd.nist.gov/vuln/detail/CVE-2020-7080
https://nvd.nist.gov/vuln/detail/CVE-2020-7081
https://nvd.nist.gov/vuln/detail/CVE-2020-7082
https://nvd.nist.gov/vuln/detail/CVE-2020-7083
https://nvd.nist.gov/vuln/detail/CVE-2020-7084
https://nvd.nist.gov/vuln/detail/CVE-2020-7085
0x05 时间线
2020-04-15 Autodesk官方公布漏洞
2020-04-24 VSRC发布漏洞通告