SSL信息一个独立的漏洞利用开发人员和漏洞研究人员公开披露了VirtualBox(一种由Oracle开发的流行的开源虚拟化软件)中的漏洞,该软件可能允许恶意程序破环虚拟机(客户操作系统)并在操作系统上执行代码。
该漏洞由于内存损坏问题而发生,并在网络模式设置为NAT(网络地址转换)时影响Intel PRO / 1000 MT桌面(82540EM)网卡(E1000)。
该缺陷与虚拟机和主机使用的操作系统类型无关,因为它驻留在共享代码库中。Sergey Zelenyuk周三公布了对GitHub漏洞的详细技术解释,该漏洞影响VirtualBox软件的所有当前版本(5.2.20及之前版本),并存在于默认的虚拟机(VM)配置中。
根据Zelenyuk报告,该漏洞允许具有客户操作系统中的root权限或管理员权限的攻击者或恶意程序在主机操作系统的应用程序层(环3)中逃逸并执行任意代码,该应用程序层用于运行来自大多数用户的代码 具有最少权限的程序。
除了漏洞的细节外,Zelenyuk还写下了完整的漏洞利用链并发布了对Vimeo攻击的视频演示。
没有安全补丁可用,这是如何保护自己
研究人员声称他的攻击“100%可靠”。 Zelenyuk在Ubuntu版本16.04和18.04 x86-64位客户上测试了他的漏洞,但他认为该漏洞也适用于Windows平台。
虽然研究人员发布的漏洞利用程序不易执行,但提供了如何执行它的完整细节。所以,这次研究人员公开披露了这个漏洞,因此还没有补丁可用。
但是,在修补之前,用户可以通过将其“虚拟机的网卡”更改为PCnet(两者之一)或半虚拟化网络来保护自己免受潜在的网络攻击。
虽然研究人员强调上述方法更安全,但如果您无法做到这一点,您可以将模式从NAT更改为另一个。