Sergey Zelenyuk, rosyjski programista specjalizujący się w badaniu bezpieczeństwa aplikacji, wykrył poważną lukę zero-day w VirtualBox, popularnym otwartoźródłowaym oprogramowaniu do wirtualizacji rozwijanym pod kontrolą Oracle. Luka umożliwia przeprowadzenie ataku, w czasie którego szkodliwy kod przedostaje się z wirtualnej maszyny do komputera hosta.
Opisany na GitHubie problem występuje wówczas, gdy użytkownik VirtualBoksa korzysta z wirtualnej karty sieciowej Intel PRO/1000 MT Desktop (82540EM) w trybie NAT.
Choć z powyżej podaną konfigurację sieciową można się spotkać bardzo często, to najbardziej narażeni na wykorzystanie podatności mogą być narażone osoby zajmujące się na co dzień analizą szkodliwego oprogramowania. Jeśli korzystasz z VirtualBoX w konfiguracji NAT z kartą Intel PRO/1000 MT, możesz uchronić się przed atakiem zmieniając karty wirtualnych maszyn na PCNET.
Sergey Zelenyuk postanowił opublikować informacje na temat luki bez wcześniejszego informowania Oracle, w zwązku z tym, że był niezadowolony z podejścia firmy do nagradzania osób zgłaszających błędy w oprogramowaniu.
Luka w zabezpieczeniach występuje w VirtualBox 5.2.20 i wcześniejszych wersjach. Szczegółowy opis luki znajdziesz na GitHub.
Edit. Na stronie VirtualBox.org pojawił się VirtualBox 5.2.22. Pomimo, że w ChangeLog nie podano informacji o załataniu luki, a komentarze osób zaangażowanych w rozwój projektu są wymijające, to Sergey po analizie nowej wersji stwierdził "Wygląda na to, że naprawili błąd."