Autodesk 多个高危漏洞通告

  • A+
所属分类:安全漏洞


赶紧点击上方话题进行订阅吧!

报告编号:B6-2021-062401

报告来源:360CERT

报告作者:360CERT

更新日期:2021-06-24


1
 漏洞简述



2021年06月24日,360CERT监测发现 06月14日Autodesk发布了Design Review安全更新通告,本次安全更新中修复了7处漏洞 ,漏洞等级:高危,漏洞评分:8.9

Autodesk是在建筑、工程及制造业等行业的产品闻名软件公司,其拥有 AutoCAD,AutoCAD WS,Autodesk Alias,Autodesk Maya,Autodesk Design Review等多款软件,在全世界范围内拥有大量的客户。攻击者可以通过利用这些漏洞构造一个恶意的网页或文件诱使用户点击,从而控制用户的主机。

Autodesk系列产品通常用在企业内网的员工办公机上,攻击者通常会使用社会工程学的方式将身份伪装成求职者等其他身份向企业员工发送包含恶意代码的文件,当企业员工运行该文件时,攻击者便可在员工主机上直接执行任意代码,从而突破企业边界防御策略,直接入侵到企业办公网段。但是内存漏洞存在利用成本高、触发情况不稳定的情况,同时该漏洞需要用户参与点击,利用难度中。

对此,360CERT建议广大用户及时将Autodesk Design Review升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。


2
 风险等级



360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 高危
影响面 广泛
攻击者价值 非常高
利用难度
360CERT评分 8.9

3
 漏洞详情



CVE-2021-27033: Design Review 内存多重释放漏洞

CVE: CVE-2021-27033

组件: Design Review

漏洞类型: 内存多重释放

影响: 接管用户计算机

简述: Autodesk Design Review 对PDF的处理过程中存在多重释放漏洞。攻击者通过诱使用户打开特质的网页或PDF文件,可利用该漏洞控制用户计算机。

CVE-2021-27034: Design Review 缓冲区溢出漏洞

CVE: CVE-2021-27034

组件: Design Review

漏洞类型: 缓冲区溢出

影响: 接管用户计算机

简述: Autodesk Design Review 解析 PICT 或 TIFF 文件过程中存在基于堆的缓冲区溢出漏洞。攻击者通过诱使用户打开特制的PICT 或 TIFF 文件,可利用该漏洞控制用户计算机。

CVE-2021-27035: Design Review 内存越界漏洞

CVE: CVE-2021-27035

组件: Design Review

漏洞类型: 内存越界

影响: 接管用户计算机

简述: Autodesk Design Review 解析 TIFF、PDF、PICT 或 DWF 文件时存在内容越界读取写入漏洞。攻击者通过诱使用户打开特制的TIFF、PDF、PICT 或 DWF 文件,可利用该漏洞控制用户计算机。

CVE-2021-27036: Design Review 内存越界写漏洞

CVE: CVE-2021-27036

组件: Design Review

漏洞类型: 内存越界写

影响: 接管用户计算机

简述: Autodesk Design Review 解析PDF、PICT 或 TIFF 文件时存在内容越界写入漏洞。攻击者通过诱使用户打开特质的PDF、PICT 或 TIFF 文件,可利用该漏洞控制用户计算机。

CVE-2021-27037: Design Review UAF漏洞

CVE: CVE-2021-27037

组件: Design Review

漏洞类型: UAF

影响: 接管用户计算机

简述: Autodesk Design Review 解析 PNG、PDF 或 DWF 文件时存在(UAF)内存释放后使用漏洞。攻击者通过诱使用户打开特质的 PNG、PDF 或 DWF 文件,可利用该漏洞控制用户计算机。

CVE-2021-27038: Design Review 类型混淆漏洞

CVE: CVE-2021-27038

组件: Design Review

漏洞类型: 类型混淆

影响: 接管用户计算机

简述: Autodesk Design Review 解析PDF文件时存在类型混淆漏洞。攻击者通过诱使用户打开特质的网页、PDF文件,可利用该漏洞控制用户计算机。

CVE-2021-27039: Design Review 内存越界漏洞

CVE: CVE-2021-27039

组件: Design Review

漏洞类型: 内存越界

影响: 接管用户计算机

简述: Autodesk Design Review 解析TIFF文件时存在内容越界读写漏洞。攻击者通过诱使用户打开特制的TIFF文件,可利用该漏洞控制用户计算机。


4
 影响版本



软件 影响版本 安全版本
Autodesk Design Review 2011 2018 Hotfix 3
Autodesk Design Review 2012 2018 Hotfix 3
Autodesk Design Review 2013 2018 Hotfix 3
Autodesk Design Review 2017 2018 Hotfix 3
Autodesk Design Review 2018 2018 Hotfix 3
Autodesk Design Review 2018_hotfix_1 2018 Hotfix 3
Autodesk Design Review 2018_hotfix_2 2018 Hotfix 3

5
 修复建议



通用修补建议

Autodesk® Design Review 2013 或更早版本的客户需要按照Autodesk 知识网络中的安装说明升级到 2018 或更高版本。使用不再有获得全面支持的版本(<2013)的客户应计划尽快升级到受支持的版本,以避免受到安全漏洞影响。


6
 产品侧解决方案



若想了解更多产品信息或有相关业务需求,可移步至http://360.net。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

Autodesk 多个高危漏洞通告

360安全卫士

Windows用户可通过360安全卫士实现对应补丁安装、漏洞修复、恶意软件查杀,其他平台的用户可以根据修复建议列表中的安全建议进行安全维护。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

Autodesk 多个高危漏洞通告

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

Autodesk 多个高危漏洞通告

360终端安全管理系统

360终端安全管理系统软件是在360安全大脑极智赋能下,以大数据、云计算等新技术为支撑,以可靠服务为保障,集防病毒与终端安全管控功能于一体的企业级安全产品。

360终端安全管理系统已支持对相关漏洞进行检测和修复,建议用户及时更新漏洞库并安装更新相关补丁。

Autodesk 多个高危漏洞通告


7
 时间线



2021-06-14 Autodesk发布通告

2021-06-24 360CERT发布通告


8
 参考链接



1、 Vulnerabilities in the Autodesk® Design Review software

https://www.autodesk.com/trust/security-advisories/adsk-sa-2021-0003


9
 特制报告下载链接



一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。

Autodesk 多个高危漏洞通告

http://certdl.qihucdn.com/cert-public-file/【360CERT】Autodesk_多个高危漏洞通告/%!s(MISSING).pdf

若有订阅意向与定制需求请扫描下方二维码进行信息填写,或发送邮件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

Autodesk 多个高危漏洞通告




往期推荐
01

CVE-2021-21998: VMware Carbon Black App Control身份验证绕过漏洞通告

02

CVE-2021-3044: Cortex XSOAR未认证REST API使用漏洞通告

03

PJobRAT:针对印度军事人员的间谍软件


Autodesk 多个高危漏洞通告
360CERT

https://cert.360.cn/

进入官网查看更多资讯

长按扫码关注我们
Autodesk 多个高危漏洞通告


Autodesk 多个高危漏洞通告
点击在看,进行分享
Autodesk 多个高危漏洞通告

本文始发于微信公众号(三六零CERT):Autodesk 多个高危漏洞通告

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: