Autodesk 多個(gè)高危漏洞通告
責(zé)編:gltian |2021-06-25 11:13:46
0x01 ??漏洞簡(jiǎn)述
2021年06月24日,360CERT監(jiān)測(cè)發(fā)現(xiàn) 06月14日Autodesk發(fā)布了Design Review安全更新通告,本次安全更新中修復(fù)了7處漏洞 ,漏洞等級(jí):高危,漏洞評(píng)分:8.9。
Autodesk是在建筑、工程及制造業(yè)等行業(yè)的產(chǎn)品聞名軟件公司,其擁有 AutoCAD,AutoCAD WS,Autodesk Alias,Autodesk Maya,Autodesk Design Review等多款軟件,在全世界范圍內(nèi)擁有大量的客戶。攻擊者可以通過(guò)利用這些漏洞構(gòu)造一個(gè)惡意的網(wǎng)頁(yè)或文件誘使用戶點(diǎn)擊,從而控制用戶的主機(jī)。
Autodesk系列產(chǎn)品通常用在企業(yè)內(nèi)網(wǎng)的員工辦公機(jī)上,攻擊者通常會(huì)使用社會(huì)工程學(xué)的方式將身份偽裝成求職者等其他身份向企業(yè)員工發(fā)送包含惡意代碼的文件,當(dāng)企業(yè)員工運(yùn)行該文件時(shí),攻擊者便可在員工主機(jī)上直接執(zhí)行任意代碼,從而突破企業(yè)邊界防御策略,直接入侵到企業(yè)辦公網(wǎng)段。但是內(nèi)存漏洞存在利用成本高、觸發(fā)情況不穩(wěn)定的情況,同時(shí)該漏洞需要用戶參與點(diǎn)擊,利用難度中。
對(duì)此,360CERT建議廣大用戶及時(shí)將Autodesk Design Review升級(jí)到最新版本。與此同時(shí),請(qǐng)做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊。
0x02 ??風(fēng)險(xiǎn)等級(jí)
360CERT對(duì)該漏洞的評(píng)定結(jié)果如下
| 評(píng)定方式 | 等級(jí) |
|---|---|
| 威脅等級(jí) | 高危 |
| 影響面 | 廣泛 |
| 攻擊者價(jià)值 | 非常高 |
| 利用難度 | 中 |
| 360CERT評(píng)分 | 8.9 |
0x03 ??漏洞詳情
CVE-2021-27033: Design Review 內(nèi)存多重釋放漏洞
CVE: CVE-2021-27033
組件: Design Review
漏洞類(lèi)型: 內(nèi)存多重釋放
影響: 接管用戶計(jì)算機(jī)
簡(jiǎn)述: Autodesk Design Review 對(duì)PDF的處理過(guò)程中存在多重釋放漏洞。攻擊者通過(guò)誘使用戶打開(kāi)特制的網(wǎng)頁(yè)或PDF文件,可利用該漏洞控制用戶計(jì)算機(jī)。
CVE-2021-27034: Design Review 緩沖區(qū)溢出漏洞
CVE: CVE-2021-27034
組件: Design Review
漏洞類(lèi)型: 緩沖區(qū)溢出
影響: 接管用戶計(jì)算機(jī)
簡(jiǎn)述: Autodesk Design Review 解析 PICT 或 TIFF 文件過(guò)程中存在基于堆的緩沖區(qū)溢出漏洞。攻擊者通過(guò)誘使用戶打開(kāi)特制的PICT 或 TIFF 文件,可利用該漏洞控制用戶計(jì)算機(jī)。
CVE-2021-27035: Design Review 內(nèi)存越界漏洞
CVE: CVE-2021-27035
組件: Design Review
漏洞類(lèi)型: 內(nèi)存越界
影響: 接管用戶計(jì)算機(jī)
簡(jiǎn)述: Autodesk Design Review 解析 TIFF、PDF、PICT 或 DWF 文件時(shí)存在內(nèi)容越界讀取寫(xiě)入漏洞。攻擊者通過(guò)誘使用戶打開(kāi)特制的TIFF、PDF、PICT 或 DWF 文件,可利用該漏洞控制用戶計(jì)算機(jī)。
CVE-2021-27036: Design Review 內(nèi)存越界寫(xiě)漏洞
CVE: CVE-2021-27036
組件: Design Review
漏洞類(lèi)型: 內(nèi)存越界寫(xiě)
影響: 接管用戶計(jì)算機(jī)
簡(jiǎn)述: Autodesk Design Review 解析PDF、PICT 或 TIFF 文件時(shí)存在內(nèi)容越界寫(xiě)入漏洞。攻擊者通過(guò)誘使用戶打開(kāi)特制的PDF、PICT 或 TIFF 文件,可利用該漏洞控制用戶計(jì)算機(jī)。
CVE-2021-27037: Design Review UAF漏洞
CVE: CVE-2021-27037
組件: Design Review
漏洞類(lèi)型: UAF
影響: 接管用戶計(jì)算機(jī)
簡(jiǎn)述: Autodesk Design Review 解析 PNG、PDF 或 DWF 文件時(shí)存在(UAF)內(nèi)存釋放后使用漏洞。攻擊者通過(guò)誘使用戶打開(kāi)特制的 PNG、PDF 或 DWF 文件,可利用該漏洞控制用戶計(jì)算機(jī)。
CVE-2021-27038: Design Review 類(lèi)型混淆漏洞
CVE: CVE-2021-27038
組件: Design Review
漏洞類(lèi)型: 類(lèi)型混淆
影響: 接管用戶計(jì)算機(jī)
簡(jiǎn)述: Autodesk Design Review 解析PDF文件時(shí)存在類(lèi)型混淆漏洞。攻擊者通過(guò)誘使用戶打開(kāi)特制的網(wǎng)頁(yè)、PDF文件,可利用該漏洞控制用戶計(jì)算機(jī)。
CVE-2021-27039: Design Review 內(nèi)存越界漏洞
CVE: CVE-2021-27039
組件: Design Review
漏洞類(lèi)型: 內(nèi)存越界
影響: 接管用戶計(jì)算機(jī)
簡(jiǎn)述: Autodesk Design Review 解析TIFF文件時(shí)存在內(nèi)容越界讀寫(xiě)漏洞。攻擊者通過(guò)誘使用戶打開(kāi)特制的TIFF文件,可利用該漏洞控制用戶計(jì)算機(jī)。
0x04 ??影響版本
| 軟件 | 影響版本 | 安全版本 |
|---|---|---|
| Autodesk Design Review | 2011 | 2018 Hotfix 3 |
| Autodesk Design Review | 2012 | 2018 Hotfix 3 |
| Autodesk Design Review | 2013 | 2018 Hotfix 3 |
| Autodesk Design Review | 2017 | 2018 Hotfix 3 |
| Autodesk Design Review | 2018 | 2018 Hotfix 3 |
| Autodesk Design Review | 2018_hotfix_1 | 2018 Hotfix 3 |
| Autodesk Design Review | 2018_hotfix_2 | 2018 Hotfix 3 |
0x05 ??修復(fù)建議
通用修補(bǔ)建議
Autodesk? Design Review 2013 或更早版本的客戶需要按照Autodesk 知識(shí)網(wǎng)絡(luò)中的安裝說(shuō)明升級(jí)到 2018 或更高版本。使用不再有獲得全面支持的版本(<2013)的客戶應(yīng)計(jì)劃盡快升級(jí)到受支持的版本,以避免受到安全漏洞影響。
0x06 ??產(chǎn)品側(cè)解決方案
?若想了解更多產(chǎn)品信息或有相關(guān)業(yè)務(wù)需求,可移步至http://360.net。
360安全分析響應(yīng)平臺(tái)
360安全大腦的安全分析響應(yīng)平臺(tái)通過(guò)網(wǎng)絡(luò)流量檢測(cè)、多傳感器數(shù)據(jù)融合關(guān)聯(lián)分析手段,對(duì)該類(lèi)漏洞的利用進(jìn)行實(shí)時(shí)檢測(cè)和阻斷,請(qǐng)用戶聯(lián)系相關(guān)產(chǎn)品區(qū)域負(fù)責(zé)人或(shaoyulong#360.cn)獲取對(duì)應(yīng)產(chǎn)品。
360安全衛(wèi)士
Windows用戶可通過(guò)360安全衛(wèi)士實(shí)現(xiàn)對(duì)應(yīng)補(bǔ)丁安裝、漏洞修復(fù)、惡意軟件查殺,其他平臺(tái)的用戶可以根據(jù)修復(fù)建議列表中的安全建議進(jìn)行安全維護(hù)。
360CERT建議廣大用戶使用360安全衛(wèi)士定期對(duì)設(shè)備進(jìn)行安全檢測(cè),以做好資產(chǎn)自查以及防護(hù)工作。
360本地安全大腦
360本地安全大腦是將360云端安全大腦核心能力本地化部署的一套開(kāi)放式全場(chǎng)景安全運(yùn)營(yíng)平臺(tái),實(shí)現(xiàn)安全態(tài)勢(shì)、監(jiān)控、分析、溯源、研判、響應(yīng)、管理的智能化安全運(yùn)營(yíng)賦能。360本地安全大腦已支持對(duì)相關(guān)漏洞利用的檢測(cè),請(qǐng)及時(shí)更新網(wǎng)絡(luò)神經(jīng)元(探針)規(guī)則和本地安全大腦關(guān)聯(lián)分析規(guī)則,做好防護(hù)。
360終端安全管理系統(tǒng)
360終端安全管理系統(tǒng)軟件是在360安全大腦極智賦能下,以大數(shù)據(jù)、云計(jì)算等新技術(shù)為支撐,以可靠服務(wù)為保障,集防病毒與終端安全管控功能于一體的企業(yè)級(jí)安全產(chǎn)品。
360終端安全管理系統(tǒng)已支持對(duì)相關(guān)漏洞進(jìn)行檢測(cè)和修復(fù),建議用戶及時(shí)更新漏洞庫(kù)并安裝更新相關(guān)補(bǔ)丁。
0x07 ??時(shí)間線
2021-06-14?Autodesk發(fā)布通告
2021-06-24?360CERT發(fā)布通告
0x08 ??參考鏈接
1、 Vulnerabilities in the Autodesk? Design Review software
0x09 ??特制報(bào)告下載鏈接
一直以來(lái),360CERT對(duì)全球重要網(wǎng)絡(luò)安全事件進(jìn)行快速通報(bào)、應(yīng)急響應(yīng)。為更好地為政企用戶提供最新漏洞以及信息安全事件的安全通告服務(wù),現(xiàn)360CERT正式推出安全通告特制版報(bào)告,以便用戶做資料留存、傳閱研究與查詢驗(yàn)證。 用戶可直接通過(guò)以下鏈接進(jìn)行特制報(bào)告的下載。
若有訂閱意向與定制需求請(qǐng)發(fā)送郵件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手機(jī)號(hào)、地區(qū)、郵箱地址。
來(lái)源:安全客
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類(lèi)別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!