Chi tiết lỗ hổng leo thang đặc quyền trong Oracle VirtualBox được phát hành

DDos

VIP Members
22/10/2013
524
2.191 bài viết
Chi tiết lỗ hổng leo thang đặc quyền trong Oracle VirtualBox được phát hành
Một lỗ hổng an ninh hiện đã được vá ảnh hưởng đến phần mềm ảo hóa Oracle VM VirtualBox có thể bị kẻ tấn công lợi dụng để xâm nhập hypervisor (phần mềm giám sát máy ảo) và gây ra tình trạng từ chối dịch vụ (DoS).

Screenshot 2021-11-24 101432 (1).jpg

Trong khuyến cáo của mình, Oracle cho biết: "Lỗ hổng có thể bị khai thác dễ dàng cho phép kẻ tấn công với đặc quyền cao đăng nhập vào cơ sở hạ tầng nơi Oracle VM VirtualBox thực thi để thâm nhập Oracle VM VirtualBox. Khai thác thành công lỗ hổng dẫn đến việc Oracle VM VirtualBox bị treo hoặc không thể chạy (crash)".

Có mã định danh CVE-2021-2442 (điểm CVSS: 6.0), lỗ hổng ảnh hưởng đến tất cả các phiên bản VM VirtualBox 6.1.24 hoặc cũ hơn. Nhà nghiên cứu Max Van Amerongen của SentinelLabs đã phát hiện và báo cáo cho Orcale, sau đó Oracle đã phát hành bản vá cho lỗ hổng này trong tháng 7/2021.

Oracle VM VirtualBox là một hosted hypervisor nguồn mở cho ảo hoá x86, phát triền bởi Oracle. VirtualBox có thể được cài đặt trên Windows, macOS, Linux, Solaris và OpenSolaris; cũng có các ports đến FreeBSD và Genode. Phần mềm hỗ trợ tạo và quản lý các máy ảo khách chạy Windows, Linux, BSD, OS/2, Solaris, Haiku, và OSx86 cũng như ảo hóa hạn chế macOS trên phần cứng của Apple.

Max Van Amerongen cho biết: "Đây là một vấn đề liên quan đến việc đọc ngoài biên và dòng dưới số nguyên (integer underflow) trong tiến trình của máy chủ (host). Trong một số trường hợp, lỗ hổng cũng có thể được sử dụng để DoS từ xa các máy ảo Virtualbox khác".

Van Amerongen cũng đã phát hiện ra hai lỗ hổng an ninh CVE-2021-2145 (CVSS score: 7.5) và CVE-2021-2310 (CVSS score: 7.5) trong Oracle VirtualBox. Cả hai đều được Oracle vá trong bản vá tháng 4 năm nay.

Để tránh bị khai thác và đảm bảo an toàn cho hệ thống, WhiteHat khuyến cáo người dùng cập nhật Oracle VM VirtualBox lên phiên bản 6.1.30 mới nhất.
Theo: thehackernews
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2021-2442 oracle vm virtualbox
Bên trên