Oracle VM VirtualBox 安全漏洞预警

漏洞公告

2018年1月22日,Oracle发布了季度安全公告,包含多个严重安全漏洞的更新补丁,其中包含针对VirtualBox虚拟机逃逸漏洞(内存越界读写实现),对应CVE编号:CVE-2018-2698,相关信息链接:

http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html#AppendixOVIR

根据公告,该漏洞存在于VirtualBox 5.1.32/5.2.6之前的版本,目前网上已经有公开的测试代码,测试显示可导致虚拟机中客户机能对虚拟机本身进行代码执行攻击,建议尽快更新到漏洞修复后的版本。

Oracle安全公告发布地址和计划:

https://www.oracle.com/technetwork/topics/security/alerts-086861.html

漏洞描述

该漏洞存在VirtualBox的核心图形框架 (VBVA子组件)中,几乎影响所有的操作系统,分析显示在VirtualBox中实现的vboxVDMACmdExecBpbTransfer、vboxVDMACmdExecBlt命令结构存在内存越界读写漏洞,导致在虚拟机中可以控制物理主机内存,通过构造特殊提权代码从而实现从虚拟机逃逸到物理主机。

影响范围

漏洞影响5.1.32/5.2.6之前的版本,本次安全更新还包含以下CVE公告:

CVE-2018-2694

CVE-2018-2698(本漏洞)

CVE-2018-2685

CVE-2018-2686

CVE-2018-2687

CVE-2018-2688

CVE-2018-2689

CVE-2018-2690

CVE-2018-2676

CVE-2018-2693

内存越界读写漏洞CVE-2018-2698,POC和分析参考:

https://blogs.securiteam.com/index.php/archives/3649

网上已经有人测试在Windows 10上的64位Ubuntu虚拟机中成功执行代码(Windows 10物理机),建议尽快更新到漏洞修复后的5.1.32/5.2.6版本。

官方更新版本下载地址:

http://www.oracle.com/technetwork/server-storage/virtualbox/downloads/index.html

https://www.virtualbox.org/

缓解措施

高危:目前攻击代码已经公开,强烈建议尽快升级到无漏洞新版本或加固虚拟机环境避免被攻击(减少攻击面和提高利用漏洞难度)。

安全运营建议:VirtualBox历史上已经报过多个严重安全漏洞,建议使用该产品的企业经常关注官方安全更新公告。

- END -

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20180125B0W94B00?refer=cp_1026

同媒体快讯

相关快讯

扫码关注云+社区