L’éditeur de logiciels AutoDesk publie des correctifs pour plusieurs vulnérabilités

L’éditeur de logiciels AutoDesk publie des correctifs pour plusieurs vulnérabilités

Fin 2021, la société de cybersécurité Fortinet découvre plusieurs vulnérabilités dans les produits d’AutoDesk. Fin mars, l’éditeur de logiciels de conception, d’ingénierie et de construction a publié plusieurs correctifs de sécurité.

Des vulnérabilités critiques

Ces vulnérabilités sont identifiées comme CVE-2022-27525, CVE-2021-40167, CVE-2022-27526, CVE-2022-27527, CVE-2022-25797, CVE-2022-27523 et CVE-2022-27524. Au mois de mars, AutoDesk a publié des correctifs de sécurité pourles corriger.

Les causes de toutes ces vulnérabilités sont liées au décodage de plusieurs formats de fichiers par les produits AutoDesk vulnérables. Ces failles sont considérées comme critiques. Aussi, les experts en cybersécurité de chez Fortinet et d’AutoDesk suggèrent aux utilisateurs d’appliquer les correctifs AutoDesk dès que possible.

Pour rappel, il s’agit de vulnérabilités zero-day pour les produits suivants : DWG TrueView, Design Review et Navisworks. Exploitées, celles-ci offrent aux attaquants la possibilité de mener de nombreuses attaques dangereuses.

Détails sur quelques vulnérabilités 

Fortinet a publié tous les détails de ces vulnérabilités dans un document intitulé Fortinet Zero Day Advisory, disponible sur son site Fortiguard. En voici un petit aperçu. CVE-2022-27525 et CVE-2021-40167 sont des vulnérabilités de corruption causées par un fichier DWF malformé. Celles-ci provoquent une écriture en mémoire hors limites en raison d’une vérification des limites incorrecte

CVE-2022-27526 pour sa part est une vulnérabilité de corruption de mémoire existant dans AutoDesk Design Review. La vulnérabilité est causée par un fichier Truevision (TGA) malformé.

De son côté, CVE-2022-27527 est une vulnérabilité de corruption de mémoire existant dans AutoDesk Navisworks. Celle-ci est causée par un fichier PDF malformé. Pour ce qui est de CVE-2022-27523, il s’agit d’une vulnérabilité de lecture excessive du tampon qui existe dans le décodage des fichiers de dessin AutoCAD dans Autodesk DWG TrueView.

Si l’utilisateur n’applique pas les correctifs, les attaquants peuvent entre autres exploiter ces vulnérabilités pour exécuter par exemple un code arbitraire. Certaines permettent aux attaquants distants de divulguer des informations sensibles.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Pin It on Pinterest