10 nowych luk w zabezpieczeniach odkrytych w vm virtualbox

Firma Oracle wydała poprawkę, aby naprawić dziesięć luk w VirtualBox, które pozwalają atakującym na ucieczkę z systemów operacyjnych gościa i atakowanie systemu operacyjnego hosta, na którym działa VirtualBox.

VM VirtualBox rozwiązuje poważne problemy z bezpieczeństwem

Exploity wykorzystujące tę metodę, znane jako „ucieczka z maszyny wirtualnej”, stały się przedmiotem zainteresowania ekspertów ds. Bezpieczeństwa po ich ujawnieniu w 2015 r.

Luki są publikowane jako; CVE-2018-2676, CVE-2018-2685, CVE-2018-2686, CVE-2018-2687, CVE-2018-2688, CVE-2018-2689, CVE-2018-2690, CVE-2018-2693, CVE- 2018-2694 i CVE-2018-2698 . Chociaż wszystkie mają ten sam efekt, zastosowana metoda - a następnie łatwość, z jaką atakujący mogą wykorzystać tę lukę - różni się w zależności od typu.

Każdy, kto korzysta z VirtualBox, jest potencjalnie podatny na wymienione powyżej CVE, chociaż niektóre z zgłoszonych luk są specyficzne dla systemów operacyjnych działających na hoście. Nowo wydane łaty są dostępne w najnowszej wersji (5.2.6), a także w starej wersji (5.1.32).

Twórcy tej aplikacji zalecają wszystkim użytkownikom, którzy uruchamiają kod - zawodny - na maszynach wirtualnych gości, pilną aktualizację aplikacji.

Chociaż VirtualBox jest popularną aplikacją ogólnego zastosowania, najczęściej jest używana do wirtualizacji pulpitu. W porównaniu z innymi aplikacjami, aplikacja Oracle ma bardziej rozbudowane i niezawodne wsparcie dla rzadko używanych systemów operacyjnych gości, takich jak OS / 2 lub Haiku. Obsługa kontrolera gościa VirtualBox jest również integrowana z jądrem Linuksa, począwszy od wersji 4.16.

Można je aktualizować z tej samej aplikacji.

Źródło