В процедуре чтения файлов в eDrawings с Release SOLIDWORKS 2023 по Release SOLIDWORKS 2024 существуют уязвимости переполнения буфера на осн…
В процедуре чтения файлов в eDrawings с Release SOLIDWORKS 2023 по Release SOLIDWORKS 2024 существуют уязвимости переполнения буфера на основе кучи, повреждения памяти, чтения за пределами границ, записи за пределами границ, переполнения буфера на основе стека, путаницы типов, неинициализированной переменной, использования после освобождения. Эти уязвимости могут позволить злоумышленнику выполнить произвольный код при открытии специально созданного файла CATPART, IPT, JT, SAT, STL, STP, X_B или X_T. ПРИМЕЧАНИЕ: CVE-2024-3298 и CVE-2024-3299 были ВЫДЕЛЕНЫ из этого ID.
Переполнение кучи — это условие переполнения буфера, при котором перезаписываемый буфер выделен в области кучи памяти, что, как правило, означает выделение буфера с помощью функции наподобие malloc().
https://cwe.mitre.org/data/definitions/122.html →Открыть в коллекции CWE →Данная атака приводит к выходу целочисленной переменной за допустимый диапазон значений. Целочисленная переменная нередко используется в качестве смещения, например при выделении памяти и т. п. Злоумышленник, как правило, контролирует значение такой переменной и стремится вывести его за допустимые границы. Например, если рассматриваемое целое число инкрементируется сверх максимально допустимого значения, оно может обернуться в очень маленькое или отрицательное число, что повлечёт некорректное поведение. В худшем случае злоумышленник может выполнить произвольный код.
https://capec.mitre.org/data/definitions/92.html →Открыть в коллекции CAPEC →