ช่องโหว่ใหม่ 10 ช่องค้นพบใน vm virtualbox

Oracle ได้เผยแพร่โปรแกรมแก้ไขเพื่อแก้ไขช่องโหว่สิบช่องโหว่ใน VirtualBox ที่ทำให้ผู้โจมตีสามารถหลบหนีระบบปฏิบัติการ 'แขก' และโจมตีระบบปฏิบัติการโฮสต์ที่ VirtualBox กำลังทำงานอยู่

VM VirtualBox แก้ปัญหาความปลอดภัยที่ร้ายแรงของคุณ

การใช้ประโยชน์จากวิธีการนี้เรียกว่า "virtual machine escape" ได้รับความสนใจอย่างมากจากผู้เชี่ยวชาญด้านความปลอดภัยหลังจากการเปิดเผยในปี 2558

ช่องโหว่ถูกเผยแพร่เป็น; CVE-2018-2676, CVE-2018-2685, CVE-2018-2686, CVE-2018-2687, CVE-2018-2688, CVE-2018-2689, CVE-2018-2690, CVE-2018-2693, CVE- 2018-2694 และ CVE-2018-2698 ในขณะที่พวกเขาทั้งหมดมีผลเหมือนกันวิธีการที่เกี่ยวข้อง - และต่อมาความสะดวกที่ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่ - แตกต่างกันไปตามประเภท

ทุกคนที่ใช้ VirtualBox อาจมีความเสี่ยงต่อ CVEs ที่ระบุไว้ข้างต้น ถึงแม้ว่าช่องโหว่ที่รายงานบางช่องจะระบุเฉพาะกับระบบปฏิบัติการที่ทำงานอยู่บนโฮสต์ แพตช์ที่เพิ่งเปิดตัวใหม่มีให้ในเวอร์ชั่นล่าสุด (5.2.6) และเวอร์ชั่นเก่า (5.1.32)

ผู้พัฒนาแอปพลิเคชันนี้ขอแนะนำให้ผู้ใช้ทุกคนที่ใช้งานรหัส - ไม่น่าเชื่อถือบน VM ของแขกให้อัพเดตแอปพลิเคชั่นอย่างเร่งด่วน

แม้ว่า VirtualBox เป็นแอปพลิเคชั่นที่ใช้งานทั่วไปที่นิยมใช้กันมากที่สุดสำหรับการจำลองเสมือนบนเดสก์ท็อป เมื่อเทียบกับแอพอื่น ๆ แอปพลิเคชัน Oracle มีการสนับสนุนที่กว้างขวางและเชื่อถือได้มากขึ้นสำหรับระบบปฏิบัติการทั่วไปที่ไม่ได้ใช้งานทั่วไปเช่น OS / 2 หรือ Haiku การสนับสนุน VirtualBox guest controller ยังรวมอยู่ในเคอร์เนล Linux โดยเริ่มจากเวอร์ชัน 4.16

สามารถอัปเดตได้จากแอปพลิเคชันเดียวกัน

แหล่ง