В Oracle VirtualBox найдена цепочка уязвимостей, ведущая к побегу из виртуальной машины - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
  • 21 октября 2025, 18:27
Как выбрать между 1С:ERP Управление холдингом и 1С:Управление холдингом 8?
Популярные статьи
  • 21 октября 2025, 10:30
«Выглядит фантастически, как и в первый раз»: GSC показала геймплейный трейлер PS5-версии S.T.A.L.K.E.R. 2: Heart of Chornobyl - «Новости сети»
Наш опрос
Помогли мы вам



Наши новости
      
      
  • 24 марта 2016, 17:40
Написание эффективного кода
  • 24 марта 2016, 16:20
Базовый синтаксис CSS
Разное и интересное
  • 21 октября 2025, 18:27
Как выбрать между 1С:ERP Управление холдингом и 1С:Управление холдингом 8?
  • 02 мая 2024, 08:05
Скачивание Reels из Instagram*: новые возможности и преимущества для пользователей
Сегодня, 10:30
В Oracle VirtualBox найдена цепочка уязвимостей, ведущая к побегу из виртуальной машины - «Новости»
Рейтинг:
Категория: Новости

Специалисты BI.ZONE выявили две уязвимости (CVE-2025-62592 и CVE-2025-61760) в Oracle VirtualBox. В сочетании эти проблемы позволяли выполнить побег из виртуальной машины VirtualBox на хостовую систему macOS на базе ARM.


Подчеркивается, что это первая публично известная цепочка уязвимостей такого рода с момента выхода версии 7.1.0 VirtualBox в 2024 году, где появилась поддержка ARM в macOS.


CVE-2025-62592 (6,0 баллов по шкале CVSS) была обнаружена в виртуальном графическом адаптере QemuRamFB в обработчике чтения MMIO qemuFwCfgMmioRead. Она позволяет атакующему вызвать integer underflow и читать неограниченный объем памяти за пределами массива. В итоге злоумышленник может получить доступ к конфиденциальным данным, включая рандомизированные базовые адреса программ и библиотек. Уязвимость затрагивает только VirtualBox для macOS на базе процессора ARM.


CVE-2025-61760 (7,5 балла по шкале CVSS) находится в функции virtioCoreR3VirtqInfo и представляет собой переполнение буфера на стеке. Атакующий может воспользоваться этим багом, при помощи информации, полученной от эксплуатации CVE-2025-62592. Затем злоумышленник получает возможность совершить «побег» из виртуальной машины на ОС хоста и выполнить произвольный код, захватив управление над гипервизором и другими виртуальными машинами.


В результате атакующий может получить доступ к микрофону и камере устройства, читать и изменять любые файлы, включая файлы других приложений. Также он может запускать новые процессы, фактически получив почти полный контроль над ОС хоста.


«При разработке эксплоита для современных приложений атакующим чаще всего необходимо две уязвимости: для утечки ASLR и для повреждения структур в памяти процесса. Уязвимости, которые обнаружила наша команда, самодостаточны для такой цепочки. Их эксплуатация несколько затруднена защитными митигациями, такими как NX (No-eXecute) и stack canary, однако возможна при перезаписи других локальных переменных функции virtioCoreR3VirtqInfo», — комментирует Павел Блинников, руководитель группы исследования уязвимостей.


Информация об уязвимостях была передана производителю, и 21 октября 2025 года Oracle выпустила критическое обновление безопасности (Critical patch update), которое устраняет обе проблемы.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Специалисты BI.ZONE выявили две уязвимости (CVE-2025-62592 и CVE-2025-61760) в Oracle VirtualBox. В сочетании эти проблемы позволяли выполнить побег из виртуальной машины VirtualBox на хостовую систему macOS на базе ARM. Подчеркивается, что это первая публично известная цепочка уязвимостей такого рода с момента выхода версии 7.1.0 VirtualBox в 2024 году, где появилась поддержка ARM в macOS. CVE-2025-62592 (6,0 баллов по шкале CVSS) была обнаружена в виртуальном графическом адаптере QemuRamFB в обработчике чтения MMIO qemuFwCfgMmioRead. Она позволяет атакующему вызвать integer underflow и читать неограниченный объем памяти за пределами массива. В итоге злоумышленник может получить доступ к конфиденциальным данным, включая рандомизированные базовые адреса программ и библиотек. Уязвимость затрагивает только VirtualBox для macOS на базе процессора ARM. CVE-2025-61760 (7,5 балла по шкале CVSS) находится в функции virtioCoreR3VirtqInfo и представляет собой переполнение буфера на стеке. Атакующий может воспользоваться этим багом, при помощи информации, полученной от эксплуатации CVE-2025-62592. Затем злоумышленник получает возможность совершить «побег» из виртуальной машины на ОС хоста и выполнить произвольный код, захватив управление над гипервизором и другими виртуальными машинами. В результате атакующий может получить доступ к микрофону и камере устройства, читать и изменять любые файлы, включая файлы других приложений. Также он может запускать новые процессы, фактически получив почти полный контроль над ОС хоста. «При разработке эксплоита для современных приложений атакующим чаще всего необходимо две уязвимости: для утечки ASLR и для повреждения структур в памяти процесса. Уязвимости, которые обнаружила наша команда, самодостаточны для такой цепочки. Их эксплуатация несколько затруднена защитными митигациями, такими как NX (No-eXecute) и stack canary, однако возможна при перезаписи других локальных переменных функции virtioCoreR3VirtqInfo», — комментирует Павел Блинников, руководитель группы исследования уязвимостей. Информация об уязвимостях была передана производителю, и 21 октября 2025 года Oracle выпустила критическое обновление безопасности (Critical patch update), которое устраняет обе проблемы.
Просмотров: 9
Комментариев: 0:   Сегодня, 10:30
Распечатать
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:


Другие новости по теме:
ДОБАВИТЬ БАННЕР