Oracle VM VirtualBox jogosultság kiterjesztés sérülékenységek

CH azonosító

CH-5218

Angol cím

Oracle VM VirtualBox Two Privilege Escalation Vulnerabilities

Felfedezés dátuma

2011.07.19.

Súlyosság

Alacsony

Érintett rendszerek

Oracle
VirtualBox

Érintett verziók

Oracle VirtualBox 3.x
Oracle VirtualBox 4.x

Összefoglaló

Az Oracle VM VirtualBox két sérülékenysége vált ismertté, amelyet kihasználva rosszindulatú, helyi felhasználók emelt szintű jogosultságot szerezhetnek.

Leírás

  1. Egy egész szám (integer) túlcsordulási hiba a SHCRGL_GUEST_FN_WRITE_BUFFER szolgáltatás parancsban, amely a Host-Guest Communication Manager-ben (HGCM) található, kihasználható a memória tartalmának megváltoztatására.
    A sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé a host gép kernelén belül.
    A sérülékenységet a 3.0, 3.1, 3.2 és a 4.0 verziókban jelentették. További kiadások is érintettek lehetnek.
  2. Egy egész szám (integer) túlcsordulási hiba az XPDM monitor vezérlőben, amely a Guest Additions for Windows-ban található, kihasználható puffer túlcsordulás okozására.
    A sérülékenység sikeres kihasználása tetszőleges kód futtatását teszi lehetővé a vendég (guest) virtuális gép kernelén belül.
    A sérülékenységet a 4.0 verzióban jelentették.

Megoldás

Frissítsen a legújabb verzióra

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-21479 – Qualcomm Multiple Chipsets Incorrect Authorization sérülékenysége
CVE-2025-5419 – Google Chromium V8 Out-of-Bounds Read and Write sérülékenysége
CVE-2025-27038 – Qualcomm Multiple Chipsets Use-After-Free sérülékenysége
CVE-2025-21480 – Qualcomm Multiple Chipsets Incorrect Authorization sérülékenysége
CVE-2023-41348 – ASUS RT-AX55 sérülékenysége
CVE-2023-41347 – ASUS RT-AX55 sérülékenysége
CVE-2023-41346 – ASUS RT-AX55 sérülékenysége
CVE-2023-41345 – ASUS RT-AX55 sérülékenysége
CVE-2023-39780 – ASUS RT-AX55 Routers OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »