Oracle VM Virtualbox többszörös sérülékenység

CH azonosító: CH-14957
Cím: Oracle VM Virtualbox többszörös sérülékenység
Angol cím: Multiple vulnerabilities in Oracle VM Virtualbox

Publikálás dátuma: 2020.07.16.
Utolsó módosítás dátuma: 2020.07.16.


Leírás

A CVE-2020-14628 – CVE-2020-14629, a CVE-2020-14646 – CVE-2020-14650, a CVE-2020-14673 – CVE-2020-14677, a CVE-2020-14694 – CVE-2020-14695, a CVE-2020-14698 – CVE-2020-14700, a CVE-2020-14703 – CVE-2020-14704, a CVE-2020-14707, valamint a CVE-2020-14711 – 14715 számokon az Oracle VM Virtualbox-ot érintő sérülékenységek váltak ismertté, amelyeket kihasználva a támadó jogosulatlanul hozzáférhet adatokhoz, azokat módosíthatja vagy törölheti, átveheti a Virtualbox feletti irányítást, illetve szolgáltatás megtagadásos körülményeket teremthet. A most ismertetett sérülékenységek közül 10 magas, 15 közepes kockázati besorolású.


Leírás forrása: Gyártói referencia: www.oracle.com
Leírás utolsó módosítása: 2020.07.16.


Elemzés leírás

Az Oracle VM Virtualbox segítségével virtuális munkakörnyezet hozható létre az adott számítógépen, ami lehetővé teszi akár más operációs rendszerek használatát, azaz Linux, Windows, és macOS is futtatható ugyanazon fizikai gépen. A most ismertetett sérülékenységek sikeres kihasználása esetén a támadó jogosulatlanul hozzáférhet adatokhoz, azokat módosíthatja vagy törölheti, átveheti a Virtualbox feletti irányítást, illetve szolgáltatás megtagadásos körülményeket teremthet.

A gyártó cég közleménye szerint a felsorolt sérülékenységek közül egy sem használható ki felhasználói hitelesítés nélkül, illetve a CVE-2020-14628 csak Windows VM, míg a CVE-2020-14711 csak  macOS alatt használható ki.

Érintett verziók:

  • Oracle VM Virtualbox 5.2.44 előtti verziók
  • Oracle VM Virtualbox 6.0.24 előtti verziók
  • Oracle VM Virtualbox 6.1.12 előtti verziók

A hibák javítása elérhető a gyártó által biztosított felhasználói hozzáférésen keresztül.


Elemzés leírás forrása: Gyártói referencia: www.oracle.com
Elemzés leírás utolsó módosítása: 2020.07.16.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 8.2 (Magas)
Vektor: AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Hatás pontszáma:
Kihasználhatóság pontszáma:


Támadás Vektora (AV): Helyi
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Magas
Felhasználói Interakció (UI): Nincs
Hatókör (S): Változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

CVSS2 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás alpontszáma:
Kihasználhatóság alpontszáma:




Hivatkozások

Gyártói referencia: www.oracle.com