Autodesk FBX|多个安全漏洞通告

发布时间 2020-04-24

0x00 漏洞概述



产品

CVE ID

类 型

漏洞等级

远程利用

Autodesk FBX-SDK <= 2019.0

CVE-2020-7080

BO

高危

CVE-2020-7081

TC

高危

CVE-2020-7082

UAF

高危

CVE-2020-7083

IO

中危

CVE-2020-7084

NPD

中危

Autodesk FBX-SDK <= 2019.2

CVE-2020-7085

HO

高危


0x01 漏洞详情


Autodesk FBX-SDK是美国欧特克(Autodesk)公司的一款C++软件开发平台和API工具包,它主要用于将现有内容转换为FBX格式。

4月15日,Autodesk官方发布公告表明利用FBX-SDK <= 2020.0版本的应用程序和服务可能会受到缓冲区溢出,类型混淆,释放后重用,整数溢出,空指针解引用和堆溢出漏洞的影响。漏洞具体信息如下:

CVE-2020-7080 是Autodesk FBX-SDK缓冲区溢出漏洞。攻击者可能会诱骗用户打开一个恶意FBX文件,导致在系统上执行任意代码。CVSS评分7.8。

CVE-2020-7081 是Autodesk FBX-SDK类型混淆漏洞。攻击者可能会诱骗用户打开一个恶意FBX文件,导致其读取/写入越界内存位置或在系统上运行任意代码,或者导致拒绝服务。CVSS评分8.8。

CVE-2020-7082 是Autodesk FBX-SDK释放后重用漏洞。攻击者可能会诱骗用户打开一个恶意FBX文件,导致该应用程序引用由未经授权的第三方控制的内存位置,在系统上运行任意代码。CVSS评分8.8。

CVE-2020-7083 是Autodesk FBX-SDK整数溢出漏洞。攻击者可能会诱骗用户打开一个恶意FBX文件,使应用程序崩溃导致拒绝服务。CVSS评分6.5。

CVE-2020-7084 是Autodesk FBX-SDK 空指针解引用漏洞。攻击者可能会诱骗用户打开一个恶意FBX文件,使应用程序崩溃导致拒绝服务。CVSS评分5.5。

CVE-2020-7085 是Autodesk FBX-SDK 堆溢出漏洞。攻击者可能会诱骗用户打开一个恶意FBX文件,该文件将通过更改FBX文件中的某些值来调用有堆溢出漏洞的FBX解析器来获取有限的代码执行,从而导致在系统上运行任意代码。CVSS评分7.8。


0x02 处置建议


目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.autodesk.com/trust/security-advisories/adsk-sa-2020-0002


0x03 相关新闻


https://www.securityweek.com/microsoft-out-band-advisory-addresses-autodesk-fbx-vulnerabilities


0x04 参考链接


https://www.autodesk.com/trust/security-advisories/adsk-sa-2020-0002

https://nvd.nist.gov/vuln/detail/CVE-2020-7080

https://nvd.nist.gov/vuln/detail/CVE-2020-7081

https://nvd.nist.gov/vuln/detail/CVE-2020-7082

https://nvd.nist.gov/vuln/detail/CVE-2020-7083

https://nvd.nist.gov/vuln/detail/CVE-2020-7084

https://nvd.nist.gov/vuln/detail/CVE-2020-7085


0x05 时间线


2020-04-15 Autodesk官方公布漏洞

2020-04-24 VSRC发布漏洞通告