VirtualBox虚拟机漏洞尚未修复已被直接公开

业界

日前有俄罗斯研究人员发现甲骨文旗下的VirtualBox虚拟化软件存在严重安全漏洞并该漏洞已经被直接公开。攻击者可利用恶意软件越过虚拟化平台的隔离感染物理机,同时该零日漏洞影响目前所有版本的VirtualBox。

 

漏洞尚未修复已被直接公开:

目前这名俄罗斯研究人员已经直接公开零日漏洞所有细节,并且研究人员已经制作了利用该漏洞的恶意代码。具体漏洞危害方面主要是通过虚拟化运行的提权,恶意软件可以绕过VirtualBox并直接在物理机上执行程序。比如用户在虚拟机中调试某些存在异常的应用程序时,如果暗藏利用该零日漏洞的代码那么即可突破虚拟机。研究人员也宣称目前已经公开的攻击程序百分百可靠,不但适用于VirtualBox所有版本而且适用于各种系统。

 

VirtualBox虚拟机漏洞尚未修复已被直接公开.png

 

为什么又是直接公开漏洞:

最近已经发生多次研究人员没有把漏洞提交给开发商直接公开的情况,并且这种做法的原因本质都是相同的。该研究人员表示选择直接公开漏洞而不是提交给甲骨文,是因为他对甲骨文处理安全威胁的态度非常不满意。研究人员表示:对漏洞提交的政策朝令夕改、缺乏精准的软件漏洞及赏金列表、提交漏洞很久都不修复等等。这名研究人员在去年向甲骨文报告过VirtualBox的漏洞,但是甲骨文公司花费长达十五个月才悄悄修复漏洞。更坑的是漏洞悄悄修复不公布也没有向研究人员支付赏金,最终让这名研究人员心灰意冷不再提交给甲骨文。

 

相关文章