1.漏洞公告

近日，Autodesk官方发布了在2020.0之前的版本中存在多个远程代码执行和拒绝服务的高危安全漏洞公告，对应6个CVE编号：CVE-2020-7080、CVE-2020-7081、CVE-2020-7082、CVE-2020-7083、CVE-2020-7084、CVE-2020-7085，相关链接参考：https://www.autodesk.com/trust/security-advisories/adsk-sa-2020-0002。

根据公告，使用FBX-SDK库的应用程序和服务存在缓冲区溢出、UAF等多个漏洞，恶意攻击者可以通过构造含有攻击代码的FBX文件对Autodesk 2020.0之前存在漏洞的版本进行攻击，从而执行构造的代码并获取当前用户或系统管理权限，建议尽快更新到漏洞修复后的版本和及时关注官方安全公告动态。

Autodesk历史安全公告参考：https://www.autodesk.com/trust/security-advisories。

近日，微软因为Office产品也内置了Autodesk FBX库，存在同样的漏洞风险，因此也发布了安全更新，官方公告：ADV200004，相关链接参考：https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/ADV200004。

2.影响范围

Autodesk多个安全漏洞影响以下版本：

FBX-SDK 2019.5之前版本，建议更新到2020以上版本

Maya 2019之前版本，建议更新到2020以上版本

Motion Builder 2019之前版本，建议更新到2020以上版本

Mudbox 2019之前版本，建议更新到2020以上版本

3ds Max 2020之前版本，建议更新到2021以上版本

Fusion ATF 8之前版本，建议更新到ATF 9以上版本

Revit 2020之前版本，建议更新到2021以上版本

Flame 2019之前版本，建议更新到2020.2以上版本

Infraworks 2020之前版本，建议更新到2021以上版本

Navisworks 2019 Update 4之前版本，建设更新到2019 Update 5; 2020 Update 2; 2021以上版本

AutoCAD 2019之前版本，建设更新到2019.5以上版本 (FBX-SDK在2020版本中已移除)

Microsoft Office影响版本：

MMicrosoft Office 2016 Click-to-Run (C2R) for 32-bit editions

Microsoft Office 2016 Click-to-Run (C2R) for 64-bit editions

Microsoft Office 2019 for 32-bit editions

Microsoft Office 2019 for 64-bit editions

Office 365 ProPlus for 32-bit Systems

Office 365 ProPlus for 64-bit Systems

Paint 3D

3.漏洞描述

根据分析，使用FBX-SDK库的应用程序和服务存在缓冲区溢出、类型混淆、释放后重用、整数溢出、堆溢出等多个高危漏洞，恶意攻击者可以通过构造含有攻击代码的FBX文件对Autodesk 2020.0之前存在漏洞的版本进行攻击，从而执行构造的攻击代码，成功利用漏洞能获取当前用户或系统管理权限，由于FBX-SDK库被广泛调用，因此除了Autodesk、Office软件，也要关注其他调用该库进行3D内容处理的软件安全更新。

4.缓解措施

高危：目前漏洞细节和利用代码暂未公开，但攻击者可以通过补丁对比方式逆向分析漏洞触发点和开发利用代码，建议及时测试并升级到漏洞修复后的版本，或采取临时缓解措施加固系统。