Une faille Zéro day trouvée dans Virtualbox

Le par  |  9 commentaire(s)
VirtualBox

Un chercheur en sécurité d'origine russe vient de publier les détails d'une vulnérabilité de type zéro day repérée au sein de l'application VirtualBox.

Sergey Zelenyuk, chercheur en sécurité russe vient de publier les détails de ses découvertes sur GitHub avec notamment un lot de failles de type zéro day logées au sein de Virtualbox, le logiciel d'Oracle permettant de configurer et de lancer des machines virtuelles. La faille principale est d'autant plus importante qu'elle permet à un individu de passer par l'OS virtuel pour atteindre l'hôte physique de la VM.

VirtualBox

Selon le chercheur, la faille permettrait à des pirates d'atteindre l'espace limité de l'OS (Kernel ring 3), mais que d'autres failles déjà connues peuvent être exploitées à leur tour pour obtenir des privilèges plus élevés au niveau du kernel (ring 0).

Toutes les versions de VirtualBox sont concernées par la faille découverte.

Le problème, c'est que Sergey Zelenyuk n'a pas contacté Oracle avant de divulguer la faille. Le chercheur n'en est pas à son coup d'essai, en 2017 il contactait déjà Oracle pour un problème comparable, la firme avait mis 15 mois à proposer un patch...

Agacé par les procédures et l'attitude aléatoire et parfois peu respectueuse des éditeurs, le chercheur a donc pris le pas de publier directement sa découverte... Qui n'est donc actuellement pas corrigée...

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2039835
Très sale quand les failles permettent de remonter à l'hôte
Le #2039842
" le chercheur a donc pris le pas de publier directement sa découverte... Qui n'est donc actuellement pas corrigée.."

Ca c'est pas glop
Le #2039844
skynet a écrit :

" le chercheur a donc pris le pas de publier directement sa découverte... Qui n'est donc actuellement pas corrigée.."

Ca c'est pas glop


Bof Microsoft s'en mange aussi de temps à autres (souvent par les ingénieurs de Google d'ailleurs) donc ce n'est pas cette partie qui me choque le plus.

Par contre, qu'il ne prévienne même pas Oracle par flemme ou un supposé "agacement" là je trouve ça moche, à la limite de la faute professionnelle...
Le #2039845
skynet a écrit :

" le chercheur a donc pris le pas de publier directement sa découverte... Qui n'est donc actuellement pas corrigée.."

Ca c'est pas glop


On parie un billet que je ne serait jamais touché ?

Je suis prêt à mettre un billet de 500 ...
Le #2039857
Apparemment, il faut éviter le NAT et modifier la carte réseau pour pallier le truc selon :

https://korben.info/une-faille-0day-dans-virtualbox-comment-vous-proteger.html
Le #2039868
FRANCKYIV a écrit :

skynet a écrit :

" le chercheur a donc pris le pas de publier directement sa découverte... Qui n'est donc actuellement pas corrigée.."

Ca c'est pas glop


On parie un billet que je ne serait jamais touché ?

Je suis prêt à mettre un billet de 500 ...


Attends, j'imprime le mien et je parie avec toi
Le #2039870
skynet a écrit :

FRANCKYIV a écrit :

skynet a écrit :

" le chercheur a donc pris le pas de publier directement sa découverte... Qui n'est donc actuellement pas corrigée.."

Ca c'est pas glop


On parie un billet que je ne serait jamais touché ?

Je suis prêt à mettre un billet de 500 ...


Attends, j'imprime le mien et je parie avec toi



Anonyme
Le #2039931
Une faille virtuelle?
Le #2039938
Un russe, il faut augmenter les sanctions.

En tout cas, belle perf, et bien documentée.
Suivre les commentaires
Poster un commentaire
Anonyme