VM virtualioje dėžutėje aptikta 10 naujų pažeidžiamumų

„Oracle“ išleido pataisą, skirtą pataisyti dešimt „VirtualBox“ spragų, leidžiančių užpuolikams išvengti „svečių“ operacinių sistemų ir pulti pagrindinę operacinę sistemą, kurioje veikia „VirtualBox“.

VM VirtualBox išsprendžia jūsų rimtas saugumo problemas

Išnaudojimai, naudojantys šį metodą, vadinamą „virtualios mašinos pabėgimu“, po saugumo atskleidimo 2015 m. Sulaukė didelio saugumo ekspertų susidomėjimo.

Pažeidžiamumas skelbiamas; CVE-2018-2676, CVE-2018-2685, CVE-2018-2686, CVE-2018-2687, CVE-2018-2688, CVE-2018-2689, CVE-2018-2690, CVE-2018-2693, CVE- 2018–2694 ir CVE – 2018–2698 . Nors jie visi turi tą patį poveikį, tačiau taikomas metodas - ir vėliau užpuolikų patogumas išnaudoti pažeidžiamumą - skiriasi pagal tipą.

Kiekvienas, naudojantis „VirtualBox“, gali būti pažeidžiamas aukščiau išvardytų CVE, nors kai kurie pažeidimai, apie kuriuos pranešta, būdingi pagrindiniame kompiuteryje veikiančioms operacinėms sistemoms. Naujai išleistus pataisus galima įsigyti naujausia versija (5.2.6), taip pat sena versija (5.1.32).

Šios programos kūrėjai rekomenduoja visiems vartotojams, kurie svečiuose VM naudoja kodą, nepatikimą, skubiai atnaujinti programą.

Nors „ VirtualBox“ yra populiari bendrosios paskirties programa, ji dažniausiai naudojama darbalaukio virtualizavimui. Palyginti su kitomis programomis, „Oracle“ programa turi išsamesnį ir patikimesnį palaikymą dažnai naudojamoms svečių operacinėms sistemoms, tokioms kaip „OS / 2“ ar „Haiku“. „VirtualBox“ svečio valdiklio palaikymas taip pat yra integruojamas į „Linux“ branduolį, pradedant nuo 4.16 versijos.

Juos galima atnaujinti iš tos pačios programos.

Šaltinis