10 nouvelles vulnérabilités découvertes dans vm virtualbox

Oracle a publié un correctif pour corriger dix vulnérabilités dans VirtualBox qui permettent aux attaquants d'échapper aux systèmes d'exploitation «invités» et d'attaquer le système d'exploitation hôte sur lequel VirtualBox s'exécute.

VM VirtualBox résout vos graves problèmes de sécurité

Les exploits utilisant cette méthode, connue sous le nom de «fuite de machine virtuelle», ont fait l'objet d'un vif intérêt de la part des experts en sécurité après leur divulgation en 2015.

Les vulnérabilités sont publiées en tant que; CVE-2018-2676, CVE-2018-2685, CVE-2018-2686, CVE-2018-2687, CVE-2018-2688, CVE-2018-2689, CVE-2018-2690, CVE-2018-2693, CVE- 2018-2694 et CVE-2018-2698 . Bien qu'ils partagent tous le même effet, la méthode impliquée - et par la suite la facilité avec laquelle les attaquants peuvent exploiter la vulnérabilité - varie selon le type.

Toute personne utilisant VirtualBox est potentiellement vulnérable aux CVE répertoriés ci-dessus, bien que certaines des vulnérabilités signalées soient spécifiques aux systèmes d'exploitation exécutés sur l'hôte. Les correctifs nouvellement publiés sont disponibles dans la dernière version (5.2.6), ainsi que dans l'ancienne version (5.1.32).

Les développeurs de cette application recommandent à tous les utilisateurs qui exécutent du code - peu fiable - sur des machines virtuelles invitées, de mettre à jour l'application de manière urgente.

Bien que VirtualBox soit une application polyvalente populaire, elle est le plus souvent utilisée pour la virtualisation de bureau. Par rapport à d'autres applications, l'application Oracle offre une prise en charge plus étendue et plus fiable des systèmes d'exploitation invités non couramment utilisés, tels que OS / 2 ou Haiku. La prise en charge du contrôleur invité VirtualBox est également en cours d'intégration dans le noyau Linux, à partir de la version 4.16.

Ils peuvent être mis à jour à partir de la même application.

Source