Oracle исправила уязвимость VENOM в своих продуктах

Oracle выпустила обновления для своего ПО для виртуализации, исправляющие брешь под названием VENOM, которая позволяла обойти ограничения песочницы и выполнить код на хост-машине. Компания последовала примеру Xen и KVM, уже исправившим уязвимость переполнения буфера. VENOM не затрагивает продукты VMware, Microsoft и Bochs.

Уязвимость присутствовала в VirtualBox 3.2, 4.0, 4.1, 4.2 и 4.3 до 4.3.28; Oracle VM 2.2, 3.2 и 3.3, а также в Oracle Linux 5, 6 и 7. Как сообщает компания, исправления выпущены исключительно для поддерживаемых ею продуктов, попадающих под действие Premier Support или Extended Support. Пользователям, которые работают с поддерживаемыми версиями, рекомендуется убедиться в том, что они продолжают получать обновления.

Напомним , что уязвимость CVE-2015-3456 присутствовала в Floppy Disk Controller (FDC), используемом во многих платформах для виртуализации, в том числе производства Oracle. Брешь позволяла злоумышленнику, у которого был доступ к учетной записи в гостевой ОС, получить привилегии для доступа к FDC и внедрить вредоносный код, выполняемый в контексте процесса гипервизора на хост-системе.

Эксплуатация уязвимости возможна только в случае, если атакующий авторизован в песочнице. Тем не менее, пользователям ПО от Oracle настоятельно рекомендуется установить обновления.