Une faille Zéro day trouvée dans Virtualbox

Le par Mathieu M.  |  9 commentaire(s)
VirtualBox

Un chercheur en sécurité d'origine russe vient de publier les détails d'une vulnérabilité de type zéro day repérée au sein de l'application VirtualBox.

Sergey Zelenyuk, chercheur en sécurité russe vient de publier les détails de ses découvertes sur GitHub avec notamment un lot de failles de type zéro day logées au sein de Virtualbox, le logiciel d'Oracle permettant de configurer et de lancer des machines virtuelles. La faille principale est d'autant plus importante qu'elle permet à un individu de passer par l'OS virtuel pour atteindre l'hôte physique de la VM.

VirtualBox

Selon le chercheur, la faille permettrait à des pirates d'atteindre l'espace limité de l'OS (Kernel ring 3), mais que d'autres failles déjà connues peuvent être exploitées à leur tour pour obtenir des privilèges plus élevés au niveau du kernel (ring 0).

Toutes les versions de VirtualBox sont concernées par la faille découverte.

Le problème, c'est que Sergey Zelenyuk n'a pas contacté Oracle avant de divulguer la faille. Le chercheur n'en est pas à son coup d'essai, en 2017 il contactait déjà Oracle pour un problème comparable, la firme avait mis 15 mois à proposer un patch...

Agacé par les procédures et l'attitude aléatoire et parfois peu respectueuse des éditeurs, le chercheur a donc pris le pas de publier directement sa découverte... Qui n'est donc actuellement pas corrigée...

  • Partager ce contenu :
Complément d'information

Vos commentaires

Trier par : date / pertinence
Safirion online Connecté VIP icone 41647 points
Le #2039835
Très sale quand les failles permettent de remonter à l'hôte
skynet offline Hors ligne VIP icone 85652 points
Le #2039842
" le chercheur a donc pris le pas de publier directement sa découverte... Qui n'est donc actuellement pas corrigée.."

Ca c'est pas glop
Anonyme
Le #2039844
skynet a écrit :

" le chercheur a donc pris le pas de publier directement sa découverte... Qui n'est donc actuellement pas corrigée.."

Ca c'est pas glop


Bof Microsoft s'en mange aussi de temps à autres (souvent par les ingénieurs de Google d'ailleurs) donc ce n'est pas cette partie qui me choque le plus.

Par contre, qu'il ne prévienne même pas Oracle par flemme ou un supposé "agacement" là je trouve ça moche, à la limite de la faute professionnelle...
FRANCKYIV online Connecté VIP icone 56438 points
Premium
Le #2039845
skynet a écrit :

" le chercheur a donc pris le pas de publier directement sa découverte... Qui n'est donc actuellement pas corrigée.."

Ca c'est pas glop


On parie un billet que je ne serait jamais touché ?

Je suis prêt à mettre un billet de 500 ...
lebonga offline Hors ligne VIP avatar 32742 points
Le #2039857
Apparemment, il faut éviter le NAT et modifier la carte réseau pour pallier le truc selon :

https://korben.info/une-faille-0day-dans-virtualbox-comment-vous-proteger.html
skynet offline Hors ligne VIP icone 85652 points
Le #2039868
FRANCKYIV a écrit :

skynet a écrit :

" le chercheur a donc pris le pas de publier directement sa découverte... Qui n'est donc actuellement pas corrigée.."

Ca c'est pas glop


On parie un billet que je ne serait jamais touché ?

Je suis prêt à mettre un billet de 500 ...


Attends, j'imprime le mien et je parie avec toi
FRANCKYIV online Connecté VIP icone 56438 points
Premium
Le #2039870
skynet a écrit :

FRANCKYIV a écrit :

skynet a écrit :

" le chercheur a donc pris le pas de publier directement sa découverte... Qui n'est donc actuellement pas corrigée.."

Ca c'est pas glop


On parie un billet que je ne serait jamais touché ?

Je suis prêt à mettre un billet de 500 ...


Attends, j'imprime le mien et je parie avec toi



Anonyme
Le #2039931
Une faille virtuelle?
yam103 offline Hors ligne VIP icone 19640 points
Le #2039938
Un russe, il faut augmenter les sanctions.

En tout cas, belle perf, et bien documentée.
icone Suivre les commentaires
Poster un commentaire