VirtualBox no Linux afetado por vulnerabilidade


A vulnerabilidade de segurança do VirtualBox pode vazar dados do host para convidados.

 

VirtualBox


VirtualBox é um software de virtualização desenvolvido pela empresa Innotek depois comprado pela Sun Microsystems que posteriormente foi comprada pela Oracle que, como o VMware Workstation, visa criar ambientes para instalação de sistemas distintos. Wikipédia

 


VirtualBox no Linux afetado por vulnerabilidade

Segundo Jason A. Donenfeld uma falha de segurança no VirtualBox para Linux pode permitir acesso a dados da maquina real para a virtualizada.

"I wrote a tiny reproducer that should be pretty reliable for testing
this, attached below. I think this proves my working theory. Run this in
a VirtualBox VM, and then move your mouse around or hit the keyboard, or
do something that triggers the add_{input,disk}_randomness() path from a
hardirq handler. On my laptop, for example, the trackpoint goes via
hardirq, but the touchpad does not. As soon as I move the trackpoint
around, the below program prints "XSAVE is borked!".

Also, note that this isn't just "corruption" of the guest VM, but also
leaking secret contents of the host VM into the guest. So you might
really want to make sure VirtualBox issues a fix for this before 5.18,
as it's arguably security sensitive."


Fonte

Comentários

Você precisa ver isso

Todos os arquivos do blog

Mostrar mais