In Oracle Virtualbox gab es eine Schwachstelle, die das Abrufen von Informationen (Information Disclosure) ermöglichte. Die Sicherheitslücke ist per Update inzwischen geschlossen. Nun sind Details bekannt geworden.
Anzeige
Im Oracle Oracle Critical Patch Update Advisory – April 2019 wird eine Schwachstelle CVE-2019-2723 in Virtualbox vor den Versionen 5.2.28 und 6.0.6 erwähnt, die mit den genannten Virtualbox-Versionen geschlossen wurde. Nun ist mir über Twitter eine zusätzliche Information zugegangen.
https://t.co/wf6w61mMng
This bug can not only leak info but also lead to vm escape.
I used it in tianfu cup 2018.— wei (@XiaoWei___) 5. Mai 2019
XiaoWei von der Zero Day Initiative schreibt, dass die Schwachstelle CVE-2019-2723 auch zum Ausbruch aus einer virtuellen Maschine genutzt werden kann. Auf dieser ZDI-Webseite wurden einige Informationen offen gelegt.
Diese Schwachstelle ermöglicht es lokalen Angreifern, sensible Informationen auf anfälligen Installationen von Oracle VirtualBox offenzulegen. Ein Angreifer muss zunächst die Möglichkeit erhalten, niedrigprivilegierten Code auf dem Zielsystem auszuführen, um diese Schwachstelle auszunutzen.
Der spezifische Fehler liegt in der Verarbeitung der OHCI-Daten. Das Problem ergibt sich aus der mangelnden Validierung von benutzerdefinierten Daten, die zu einem Integer-Überlauf führen kann, bevor ein Puffer zugewiesen wird. Ein Angreifer kann dies in Verbindung mit anderen Schwachstellen nutzen, um Code im Kontext des Hypervisors auszuführen.
2015
