Разделы

Безопасность Новости поставщиков

Bi.Zone предупреждает о цепочке уязвимостей в Oracle VirtualBox

Специалисты группы исследования уязвимостей Bi.Zone обнаружили две уязвимости (CVE-2025-62592 и CVE-2025-61760) в Oracle VirtualBox. В комбинации они позволяют выполнить побег из виртуальной машины VirtualBox на хостовую систему macOS на базе ARM. Это первая публично известная цепочка уязвимостей такого рода с момента выхода версии 7.1.0 VirtualBox в 2024 году, в которой появилась поддержка ARM в macOS. Об этом CNews сообщили представители Bi.Zone.

По шкале CVSS 3.1 CVE-2025-62592 получила оценку 6,0, а CVE-2025-61760 — 7,5.

Информация об уязвимостях была направлена вендору в рамках процедуры ответственного разглашения уязвимостей. Oracle выпустила 21 октября 2025 г. критическое обновление безопасности (Critical Patch Update, CPU), которое устраняет проблему.

Первая уязвимость CVE-2025-62592 обнаружена в виртуальном графическом адаптере QemuRamFB в обработчике чтения MMIO qemuFwCfgMmioRead. Она позволяет атакующему вызвать Integer Underflow (CWE-191) и читать неограниченный объем памяти за пределами массива. Таким образом можно получить доступ к конфиденциальным данным, включая рандомизированные базовые адреса программ и библиотек. Уязвимость затрагивает только VirtualBox для macOS на базе процессора ARM.

Вторая найденная уязвимость CVE-2025-61760 находится в функции virtioCoreR3VirtqInfo и представляет собой переполнение буфера на стеке. Атакующий может воспользоваться CVE-2025-61670 при помощи информации, полученной при эксплуатации CVE-2025-62592. Затем он может «сбежать» из виртуальной машины на хостовую ОС и выполнить произвольный код, захватив управление над гипервизором и другими виртуальными машинами. В результате злоумышленник может получить доступ к микрофону и камере устройства, читать и изменять любые файлы на Mac, в том числе файлы других приложений. Также он может запускать новые процессы, фактически получив почти полный контроль над хостовой ОС.

Кирилл Федулов, Okdesk: Рынку не нужны ITSM-системы и другие решения по цене вертолета
Цифровизация

Павел Блинников, руководитель группы исследования уязвимостей, Bi.Zone: «При разработке эксплойта для современных приложений атакующим чаще всего необходимо две уязвимости: для утечки ASLR и для повреждения структур в памяти процесса. Уязвимости, которые обнаружила наша команда, самодостаточны для такой цепочки. Их эксплуатация несколько затруднена защитными митигациями, такими как NX (No-eXecute) и stack canary, однако возможна при перезаписи других локальных переменных функции virtioCoreR3VirtqInfo».

Oracle VirtualBoxгипервизор второго типа, позволяющий виртуализировать гостевые операционные системы. Для предотвращения эксплуатации этой уязвимости необходимо обновить VirtualBox до версий 7.2.4 и 7.1.14.