Exploit开发人员发现VirtualBox访客到主机逃离Zero-Day安全漏洞

栏目: 服务器 · 发布时间: 5年前

安全研究人员不仅发现了虚拟化工具VirtualBox中的漏洞,而且还发布了漏洞利用的详细信息以及零日漏洞的分步指南。因为他对漏洞赏金计划和安全研究的当前状态不满意。

俄罗斯漏洞利用开发人员Sergey Zelenyuk找到了摆脱VirtualBox虚拟环境的方法,因为他对“当代信息安全状态,尤其是安全研究和漏洞赏金”感到不满,因此他选择公开这个漏洞。告诉甲骨文有关这个问题,他也厌倦了他在信息安全社区经历的“妄想和营销废话”。

Zelenyuk已经在GitHub上发布了该漏洞利用的完整细节,正如他在基于github的披露中所详细描述的那样,安全问题会导致多个bug,并表示该漏洞会影响VirtualBox 5.2.20及更早版本。利用此漏洞的唯一要求是网卡是英特尔PRO/1000 MT Desktop (82540EM),VirtualBox设置为NAT模式。

Exploit开发人员发现VirtualBox访客到主机逃离Zero-Day安全漏洞

在成功利用了zero-day Virtualbox漏洞后,攻击者可以在目标系统上获得更高的特权,从而可以从VirtualBox虚拟机中运行的客户操作系统逃到主机操作系统。

根据安全研究人员的说法,他在报告中详细描述的漏洞是100%可靠的,“它要么总是起作用,要么永远不会起作用,因为二进制文件不匹配,或者其他更微妙的原因我没有说明。”

在打好补丁的VirtualBox构建完成之前,您可以将虚拟机的网卡更改为PCnet(两个之一)或准虚拟化网络。如果不能,将模式从NAT更改为另一个。前者更安全。

虽然这个漏洞执行起来并不简单,但是提供了完整的细节。

公开这个特殊漏洞的原因之一是Zelenyuk对Oracle的不满。一年多前,他发现并报告了另一个VirtualBox漏洞,但当问题最终得到解决时,发现并没有赞赏他,对此他很不高兴。

您可以阅读 GitHub 关于此漏洞完整而详细的记录。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址: https://www.linuxidc.com/Linux/2018-11/155242.htm


以上所述就是小编给大家介绍的《Exploit开发人员发现VirtualBox访客到主机逃离Zero-Day安全漏洞》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

人本界面

人本界面

(美)拉斯基(Jef Raskin) / 史元春 / 机械工业出版社 / 2004-1-1 / 28.0

如果我们想克服目前人机界面上的固有缺陷,就很有必要理解本书的教义;若无此愿望,读读也无妨。交互设计的许多重要方面此书并没有包括在内,因为许多文献中都已经有详尽的阐述。本书的意图是补充现有的界面设计的方法或预测未来。  本书概述了人机界面设计领域的研究成果,详细论证了界面设计思想应以认知学为基础,并考虑人类的心智特点,在指出当前界面设计中弊端的同时,提出了新产品开发的思路。本书集计算机科学、人体工程......一起来看看 《人本界面》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

URL 编码/解码
URL 编码/解码

URL 编码/解码