首页 > 清静研究 > 清静转达 > 清静通告

Autodesk FBX|多个清静误差通告

宣布时间 2020-04-24

0x00 误差概述

产品	CVE ID	类型	误差品级	远程使用
Autodesk FBX-SDK <= 2019.0	CVE-2020-7080	BO	高危	否
	CVE-2020-7081	TC	高危	否
	CVE-2020-7082	UAF	高危	否
	CVE-2020-7083	IO	中危	否
	CVE-2020-7084	NPD	中危	否
Autodesk FBX-SDK <= 2019.2	CVE-2020-7085	HO	高危	否

0x01 误差详情

尊龙凯时·(中国区)人生就是搏!

Autodesk FBX-SDK是美国欧特克（Autodesk）公司的一款C++软件开发平台和API工具包，它主要用于将现有内容转换为FBX名堂。

4月15日，Autodesk官方宣布通告批注使用FBX-SDK <= 2020.0版本的应用程序和服务可能会受到缓冲区溢出，类型混淆，释放后重用，整数溢出，空指针解引用和堆溢出误差的影响。误差详细信息如下：

CVE-2020-7080 是Autodesk FBX-SDK缓冲区溢出误差。攻击者可能会诱骗用户翻开一个恶意FBX文件，导致在系统上执行恣意代码。CVSS评分7.8。

CVE-2020-7081 是Autodesk FBX-SDK类型混淆误差。攻击者可能会诱骗用户翻开一个恶意FBX文件，导致其读取/写入越界内存位置或在系统上运行恣意代码，或者导致拒绝服务。CVSS评分8.8。

CVE-2020-7082 是Autodesk FBX-SDK释放后重用误差。攻击者可能会诱骗用户翻开一个恶意FBX文件，导致该应用程序引用由未经授权的第三方控制的内存位置，在系统上运行恣意代码。CVSS评分8.8。

CVE-2020-7083 是Autodesk FBX-SDK整数溢出误差。攻击者可能会诱骗用户翻开一个恶意FBX文件，使应用程序瓦解导致拒绝服务。CVSS评分6.5。

CVE-2020-7084 是Autodesk FBX-SDK 空指针解引用误差。攻击者可能会诱骗用户翻开一个恶意FBX文件，使应用程序瓦解导致拒绝服务。CVSS评分5.5。

CVE-2020-7085 是Autodesk FBX-SDK 堆溢出误差。攻击者可能会诱骗用户翻开一个恶意FBX文件，该文件将通过更改FBX文件中的某些值来挪用有堆溢出误差的FBX剖析器来获取有限的代码执行，从而导致在系统上运行恣意代码。CVSS评分7.8。

0x02 处置惩罚建议

现在厂商已宣布升级补丁以修复误差，补丁获取链接：

https://www.autodesk.com/trust/security-advisories/adsk-sa-2020-0002

0x03 相关新闻

https://www.securityweek.com/microsoft-out-band-advisory-addresses-autodesk-fbx-vulnerabilities

0x04 参考链接

https://www.autodesk.com/trust/security-advisories/adsk-sa-2020-0002

https://nvd.nist.gov/vuln/detail/CVE-2020-7080

https://nvd.nist.gov/vuln/detail/CVE-2020-7081

https://nvd.nist.gov/vuln/detail/CVE-2020-7082

https://nvd.nist.gov/vuln/detail/CVE-2020-7083

https://nvd.nist.gov/vuln/detail/CVE-2020-7084

https://nvd.nist.gov/vuln/detail/CVE-2020-7085

0x05 时间线

2020-04-15 Autodesk官方宣布误差

2020-04-24 VSRC宣布误差通告

尊龙凯时·(中国区)人生就是搏!

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

Autodesk FBX|多个清静误差通告

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线