В Oracle VirtualBox найдена цепочка уязвимостей, ведущая к побегу из виртуальной машины - «Новости»

Специалисты BI.ZONE выявили две уязвимости (CVE-2025-62592 и CVE-2025-61760) в Oracle VirtualBox. В сочетании эти проблемы позволяли выполнить побег из виртуальной машины VirtualBox на хостовую систему macOS на базе ARM.

Подчеркивается, что это первая публично известная цепочка уязвимостей такого рода с момента выхода версии 7.1.0 VirtualBox в 2024 году, где появилась поддержка ARM в macOS.

CVE-2025-62592 (6,0 баллов по шкале CVSS) была обнаружена в виртуальном графическом адаптере QemuRamFB в обработчике чтения MMIO qemuFwCfgMmioRead. Она позволяет атакующему вызвать integer underflow и читать неограниченный объем памяти за пределами массива. В итоге злоумышленник может получить доступ к конфиденциальным данным, включая рандомизированные базовые адреса программ и библиотек. Уязвимость затрагивает только VirtualBox для macOS на базе процессора ARM.

CVE-2025-61760 (7,5 балла по шкале CVSS) находится в функции virtioCoreR3VirtqInfo и представляет собой переполнение буфера на стеке. Атакующий может воспользоваться этим багом, при помощи информации, полученной от эксплуатации CVE-2025-62592. Затем злоумышленник получает возможность совершить «побег» из виртуальной машины на ОС хоста и выполнить произвольный код, захватив управление над гипервизором и другими виртуальными машинами.

В результате атакующий может получить доступ к микрофону и камере устройства, читать и изменять любые файлы, включая файлы других приложений. Также он может запускать новые процессы, фактически получив почти полный контроль над ОС хоста.

Информация об уязвимостях была передана производителю, и 21 октября 2025 года Oracle выпустила критическое обновление безопасности (Critical patch update), которое устраняет обе проблемы.