米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は5月25日(米国時間)、Luxion製のリアルタイムレンダリングソフトウェア「KeyShot」にバンドルされているライブラリに複数の脆弱性が存在するとして、セキュリティアドバイザリ「ICSA-21-145-01: Datakit Libraries bundled in Luxion KeyShot」を公開した。これらの脆弱性を悪用されると、攻撃者によって任意のコード実行やリモートからの任意のファイルの開示などが行われる危険性がある。

セキュリティアドバイザリの全文は次のページで公開されている。

  • ICS Advisory (ICSA-21-145-01): Datakit Libraries bundled in Luxion KeyShot

    ICS Advisory (ICSA-21-145-01): Datakit Libraries bundled in Luxion KeyShot

脆弱性はDatakit社が開発しているサードパーティ向けのライブラリ「Datakit CrossCAD/Wave」に存在するもので、バージョン2021.1以前の次のモジュールが影響を受けるという。

  • CatiaV5_3dRead
  • CatiaV6_3dRead
  • Step3dRead
  • Ug3dReadPsr
  • Jt3dReadPsr

「KeyShot」では、次のバージョンが影響を受けるDatakit製ライブラリをバンドルしている。

  • KeyShot バージョンv10.1以前

ICSA-21-145-01では、該当するライブラリに次の脆弱性が存在することが報告されている。

  • CVE-2021-27488 - CATPartファイルを解析する際に範囲外の書き込みが発生し、悪用することで現在のプロセスのコンテキストで任意のコードを実行できる
  • CVE-2021-27492 - 特別に細工された3D XMLファイルを開くことで、任意のファイルをリモートの攻撃者に開示できる
  • CVE-2021-27494 - STPファイルを解析する際にスタックベースのバッファオーバーフローが発生し、悪用することで現在のプロセスのコンテキストで任意のコードを実行できる
  • CVE-2021-27496 - PRTファイルを解析する際にインター逆参照が発生し、悪用することで現在のプロセスのコンテキストで任意のコードを実行できる
  • CVE-2021-27490 - 範囲外のメモリの読み取りが可能なことが原因で、攻撃者が任意のコードを実行できる

脆弱性の深刻度を表すCVSS v3のスコアは、CVE-2021-27492が5.5で"警告"、それ以外が7.8で"重要"となっている。

Datakitはすでにこれらの問題を解消したCrossCAD/Wareのバージョン2021.2をリリースしている。また、Luxionは、Datakitライブラリをバージョン2021.2にアップデートしたKeyShot v10.2をリリースしており、ユーザに対して最新バージョンへ更新を推奨している。