Out-of-Bounds Write in Autodesk AutoCAD, Advance Steel und Civil 3D möglich

Autodesk hat mehrere schwerwiegende Sicherheitslücken in seinen Produkten AutoCAD, Advance Steel und Civil 3D entdeckt. Diese Schwachstellen wurden am 31. Mai 2024 unter der Kennung ADSK-SA-2024-0009 veröffentlicht und können erhebliche Auswirkungen auf die Vertraulichkeit, Integrität und Verfügbarkeit der betroffenen Systeme haben.

Die Schwachstellen umfassen verschiedene Typen von Sicherheitslücken, darunter Out-of-Bounds Write, Out-of-Bounds Read, Heap-basierte Überläufe, Stack-basierte Überläufe, Use-After-Free, Memory Corruption, Uninitialized Variable und Double Free. Die Ausnutzung dieser Schwachstellen kann zur Ausführung von beliebigem Code führen.

CVE-2024-0446: Eine bösartig gestaltete STP-, CATPART- oder MODEL-Datei kann bei der Verarbeitung in ASMKERN228A.dll und ASMdatax229A.dll durch Autodesk-Anwendungen zu einem Out-of-Bounds Write führen. Ein Angreifer kann diese Schwachstelle nutzen, um einen Absturz zu verursachen, sensible Daten zu schreiben oder beliebigen Code im Kontext des aktuellen Prozesses auszuführen.

CVE-2024-23120: Eine bösartig gestaltete STP- und STEP-Datei kann bei der Verarbeitung in ASMIMPORT228A.dll durch Autodesk-Anwendungen zu einem Out-of-Bounds Write führen. Ein Angreifer kann diese Schwachstelle nutzen, um einen Absturz zu verursachen, sensible Daten zu schreiben oder beliebigen Code im Kontext des aktuellen Prozesses auszuführen.

CVE-2024-23122: Eine bösartig gestaltete 3DM-Datei kann bei der Verarbeitung in opennurbs.dll durch Autodesk-Anwendungen zu einem Out-of-Bounds Write führen. Ein Angreifer kann diese Schwachstelle nutzen, um einen Absturz zu verursachen, sensible Daten zu schreiben oder beliebigen Code im Kontext des aktuellen Prozesses auszuführen.

Es existieren noch 23 weitere teils ähnlich kritische Schwachstellen. Die Schwachstellen betreffen die folgenden Versionen von Autodesk-Produkten:

  • Autodesk AutoCAD: 2024
  • Autodesk AutoCAD Architecture: 2024
  • Autodesk AutoCAD Electrical: 2024
  • Autodesk AutoCAD Map 3D: 2024
  • Autodesk AutoCAD Mechanical: 2024
  • Autodesk AutoCAD MEP: 2024
  • Autodesk AutoCAD Plant 3D: 2024
  • Autodesk Civil 3D: 2024
  • Autodesk Advance Steel: 2024

Autodesk empfiehlt allen Benutzern der betroffenen Produkte dringend, die neuesten Updates über Autodesk Access oder das Accounts Portal zu installieren. Diese Updates beheben die identifizierten Schwachstellen und erhöhen die Sicherheit der Systeme. Kunden, die frühere Versionen verwenden, die nicht mehr vollständig unterstützt werden, sollten so schnell wie möglich auf eine unterstützte Version aktualisieren, um Ausfallzeiten und potenzielle Sicherheitslücken zu vermeiden.

Related Posts

Datenleck bei Hugging Face: Space Secrets betroffen

Diese Woche entdeckte das Team von Hugging Face einen unbefugten Zugriff auf ihre Spaces-Plattform, speziell auf Spaces Secrets. Es wird vermutet, dass ein Teil dieser Secrets unautorisiert eingesehen wurde. Spaces Secrets sind vertrauliche Informationen, die in der Hugging Face Spaces Plattform gespeichert werden. Diese können API-Schlüssel, Tokens, Zugangsdaten oder andere sensible Daten umfassen, die notwendig sind, um Anwendungen und Dienste innerhalb der Spaces-Plattform sicher zu betreiben und zu integrieren. Sie werden typischerweise verwendet, um den Zugriff auf bestimmte Funktionen oder Daten zu steuern und sicherzustellen, dass nur autorisierte Benutzer und Systeme Zugriff auf diese Ressourcen haben.

Read More

Hackerangriff auf die CDU wohl staatlichen Akteur zuzuordnen

Ein schwerwiegender Hackerangriff auf die Zentrale der CDU in Berlin wurde am 1.6.24 vom Bundesinnenministerium bestätigt. Der Verfassungsschutz ist eingeschaltet und ermittelt. Laut derzeitigem Stand ist es sehr wahrscheinlich, dass ein staatlicher Akteur hinter dem Angriff steht.

Read More

Kritische SQL Injection Lücke in wpDataTables Plugin für WordPress entdeckt

Eine kritische Sicherheitslücke wurde im wpDataTables Plugin für WordPress entdeckt. Das Plugin, das für die Erstellung dynamischer Tabellen und Diagramme genutzt wird, ist in den Versionen bis einschließlich 6.3.1 von einer SQL-Injection-Schwachstelle betroffen. Diese Schwachstelle wird mit CVSS Score 10/10 als äußerst schwerwiegend eingestuft und trägt die CVE-Nummer CVE-2024-3820.

Read More