Schwachstelle CVE-2019-2723 in Oracle Virtualbox

VirtualboxIn Oracle Virtualbox gab es eine Schwachstelle, die das Abrufen von Informationen (Information Disclosure) ermöglichte. Die Sicherheitslücke ist per Update inzwischen geschlossen. Nun sind Details bekannt geworden.


Anzeige

Im Oracle Oracle Critical Patch Update Advisory – April 2019 wird eine Schwachstelle CVE-2019-2723 in Virtualbox vor den Versionen 5.2.28 und 6.0.6 erwähnt, die mit den genannten Virtualbox-Versionen geschlossen wurde. Nun ist mir über Twitter eine zusätzliche Information zugegangen.

XiaoWei von der Zero Day Initiative schreibt, dass die Schwachstelle CVE-2019-2723 auch zum Ausbruch aus einer virtuellen Maschine genutzt werden kann. Auf dieser ZDI-Webseite wurden einige Informationen offen gelegt.

Diese Schwachstelle ermöglicht es lokalen Angreifern, sensible Informationen auf anfälligen Installationen von Oracle VirtualBox offenzulegen. Ein Angreifer muss zunächst die Möglichkeit erhalten, niedrigprivilegierten Code auf dem Zielsystem auszuführen, um diese Schwachstelle auszunutzen.

Der spezifische Fehler liegt in der Verarbeitung der OHCI-Daten. Das Problem ergibt sich aus der mangelnden Validierung von benutzerdefinierten Daten, die zu einem Integer-Überlauf führen kann, bevor ein Puffer zugewiesen wird. Ein Angreifer kann dies in Verbindung mit anderen Schwachstellen nutzen, um Code im Kontext des Hypervisors auszuführen.


Anzeige


Dieser Beitrag wurde unter Sicherheit, Virtualisierung abgelegt und mit Sicherheit, VirtualBox verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.