Deweloper Exploit odkrywa luk臋 w zabezpieczeniach VirtualBox i publikuje pe艂ny przewodnik po jej wykorzystaniu

Deweloper Exploit odkrywa luk臋 w zabezpieczeniach VirtualBox i publikuje pe艂ny przewodnik po jej wykorzystaniu

Badacz bezpiecze艅stwa nie tylko odkry艂 luk臋 w narz臋dziu do wirtualizacji VirtualBox, ale tak偶e opublikowa艂 szczeg贸艂owe informacje na temat exploita i przewodnik krok po kroku po luce dnia zerowego.

Rosyjski tw贸rca exploit贸w Sergey Zelenyuk znalaz艂 spos贸b na wyrwanie si臋 z wirtualnego 艣rodowiska VirtualBox i zdecydowa艂 si臋 upubliczni膰 luk臋 w zabezpieczeniach z powodu swojego niezadowolenia z “wsp贸艂czesnego stanu informacji, szczeg贸lnie bada艅 bezpiecze艅stwa i nagr贸d za b艂臋dy”. Powiedziawszy Oracle o problemie, by艂 r贸wnie偶 zm臋czony 鈥瀦艂udzeniami wielko艣ci i marketingowych bzdur鈥, kt贸rych do艣wiadczy艂 w spo艂eczno艣ci infosec.

Zelenyuk opublikowa艂 wszystkie szczeg贸艂y exploita na GitHub i twierdzi, 偶e luka dotyczy VirtualBox 5.2.20 i wcze艣niejszych. Jedyne wymagania, aby wykorzysta膰 t臋 luk臋, to fakt, 偶e karta sieciowa to Intel PRO / 1000 MT Desktop (82540EM) i 偶e VirtualBox jest ustawiony w trybie NAT.

Przedstawia szczeg贸艂owy opis luki, a tak偶e udost臋pnia film przedstawiaj膮cy exploit, kt贸ry jest opisany jako 鈥瀢 100% niezawodny鈥:

VirtualBox E1000 Guest-to-Host Escape od Sergeya Zelenyuka na Vimeo.

Chocia偶 exploit nie jest 艂atwy do wykonania, podane s膮 szczeg贸艂owe informacje o tym, jak to zrobi膰.

Jednym z powod贸w upublicznienia tego konkretnego exploita jest niezadowolenie Zelenyuka z Oracle. Odkry艂 i zg艂osi艂 inn膮 luk臋 w zabezpieczeniach VirtualBox ponad rok temu, ale nie by艂 zadowolony, gdy odkry艂, 偶e kiedy problem zosta艂 ostatecznie naprawiony, nie przypisano mu jej znalezienia.

Mo偶esz przeczyta膰 pe艂ny i bardzo szczeg贸艂owy opis na GitHub.