Na topie

VirtualBox z poważną luką - oto jak się zabezpieczyć

Autor:

więcej artykułów ze strefy:
Bezpieczeństwo

Rosyjski specjalista odkrył, że w VirtualBox występuje dość niepokojąca podatność. Opublikował komplet informacji na ten temat z nadzieją, że Oracle szybko się z tym upora.

  • VirtualBox z poważną luką - oto jak się zabezpieczyć
A A

VirtualBox od Oracle to zdecydowanie najpopularniejszy menedżer maszyn wirtualnych. Ma miliony użytkowników, którzy – jak wynika z najnowszych informacji – mogą być narażeni na niebezpieczeństwo. 

Poważna luka w VirtualBox

Specjalista ds. cyberbezpieczeństwa z Petersburga nazwiskiem Sergey Zelenyuk opublikował informacje na temat luki typu 0-day, znajdującej się we wszystkich wersjach programu VirtualBox (nie wyłączając z tego grona najnowszej – 5.2.20).

Exploit pozwala atakującemu na uzyskanie dostępu do maszyny głównej i wykonywanie poleceń w jej systemie operacyjnym, jeśli tylko spełnionych zostanie kilka wymogów i to niestety wcale nie szczególnie trudnych do spełnienia.

VirtualBox logo

Otóż potrzebny jest dostęp do roota na maszynie wirtualnej, niezależnie od systemu, stworzonej ze standardowymi ustawieniami: z kartą sieciową Intel PRO/1000 MT Desktop (82540EM) w trybie NAT. Więcej szczegółów można znaleźć na GitHubie.

Jak się zabezpieczyć?

Sensowną opcją (przynajmniej do czasu załatania luki) wydaje się zmiana programu do obsługi maszyn wirtualnych. Zdajemy sobie jednak sprawę z tego, że dla wielu osób byłby to problem. Dlatego też można spróbować czegoś innego.

Ze względu bowiem na to, że podatność została stwierdzona tylko we wspomnianym, konkretnym przypadku, najprostszym sposobem na zabezpieczenie się jest zmiana ustawień. Przede wszystkim należałoby zmienić tryb NAT na inny.

VirtualBox NAT

O luce usłyszeliśmy, bo Zelenyuk się wkurzył

Zwykle tego typu luki są łatane po cichu. Sergey Zelenyuk nie zdecydował się jednak na poinformowanie samego Oracle i (być może) zgarnięcie nagrody finansowej, ponieważ nie podoba mu się, jak wygląda cały ten proces.

Wcześniej zgłosił bowiem podobną podatność firmie Oracle i na wyeliminowanie jej musiał czekać wiele miesięcy. Rosjanin ma nadzieję, że upublicznienie informacji zadziała na producenta motywująco. A co w ogóle zajmuje tyle czasu? Ano między innymi konieczność weryfikacji oraz ustalenia, czy i jak duża nagroda należy się „odkrywcy”. 

Źródło: ZDNet, Bleeping Computer, GitHub. Foto: Pixies/Pixabay (CC0)

Odsłon: 4118 Skomentuj newsa
Komentarze

5

Udostępnij
  1. Kenjiro
    Oceń komentarz:

    1    

    Opublikowano: 2018-11-08 08:39

    Akurat Oracle sobie generalnie olewa zgłoszenia, a zabiera się do pracy dopiero jak temat zaczyna być poważny, bo np. wycieka do prasy. To samo jest z MySQL.
    Wyjątkiem jest np. dział Solaris, tam chyba pracują kompletnie inni ludzie.

    Skomentuj

  2. tomik23
    Oceń komentarz:

    -4    

    Opublikowano: 2018-11-08 13:36

    Jestem ciekaw kto jeszcze czegoś takiego jak VirtualBox używa jak mamy np. kubernetes i docker

    Skomentuj

  3. Biurokrata
    Oceń komentarz:

    0    

    Opublikowano: 2018-11-08 20:24

    Dobry program, b. stabilny, jedyny minus jak dla mnie, to brak możliwości zmiany lokalizacji foldera ze snapshotami.

    Skomentuj

  4. klosz007
    Oceń komentarz:

    -3    

    Opublikowano: 2018-11-08 21:50

    VirtualBox jest najpopularniejszy gdzie ?

    Skomentuj

    1. klosz007
      Oceń komentarz:

      0    

      Opublikowano: 2018-11-09 15:20

      Z takimi określeniami należy uważać jak "zdecydowanie najpopularniejszy". Być może wśród domowych użytkowników tak jest bo QEMU/KVM to tylko pod Linuxa a VMWare Workstation nie jest darmowe i dość drogie.

      Ciężko jednak zakladać że każdy w domu używa tego typu wirtualizacji, to raczej garstka zaawansowanych użytkowników którzy mają jakieś maszyny wirtualne. Hyperwisory to domena firm a tam rządzi ESX a daleko za nimi Hyper-V i KVM.
      Więc stawiam tezę że globalnie zdecydowanie najpoluarniejszym hyperwisorem jest VMWare ESX...

      Skomentuj

Dodaj komentarz

Przy komentowaniu prosimy o przestrzeganie netykiety i regulaminu.

Aby dodać komentarz musisz być zalogowany!