Oracle VM VirtualBox 安全漏洞预警

漏洞公告

2018年1月22日，Oracle发布了季度安全公告，包含多个严重安全漏洞的更新补丁，其中包含针对VirtualBox虚拟机逃逸漏洞（内存越界读写实现），对应CVE编号：CVE-2018-2698，相关信息链接：

http://www.oracle.com/technetwork/security-advisory/cpujan2018-3236628.html#AppendixOVIR

根据公告，该漏洞存在于VirtualBox 5.1.32/5.2.6之前的版本，目前网上已经有公开的测试代码，测试显示可导致虚拟机中客户机能对虚拟机本身进行代码执行攻击，建议尽快更新到漏洞修复后的版本。

Oracle安全公告发布地址和计划：

https://www.oracle.com/technetwork/topics/security/alerts-086861.html

漏洞描述

该漏洞存在VirtualBox的核心图形框架 (VBVA子组件)中，几乎影响所有的操作系统，分析显示在VirtualBox中实现的vboxVDMACmdExecBpbTransfer、vboxVDMACmdExecBlt命令结构存在内存越界读写漏洞，导致在虚拟机中可以控制物理主机内存，通过构造特殊提权代码从而实现从虚拟机逃逸到物理主机。

影响范围

漏洞影响5.1.32/5.2.6之前的版本，本次安全更新还包含以下CVE公告：

CVE-2018-2694

CVE-2018-2698（本漏洞）

CVE-2018-2685

CVE-2018-2686

CVE-2018-2687

CVE-2018-2688

CVE-2018-2689

CVE-2018-2690

CVE-2018-2676

CVE-2018-2693

内存越界读写漏洞CVE-2018-2698，POC和分析参考：

https://blogs.securiteam.com/index.php/archives/3649

网上已经有人测试在Windows 10上的64位Ubuntu虚拟机中成功执行代码（Windows 10物理机），建议尽快更新到漏洞修复后的5.1.32/5.2.6版本。

官方更新版本下载地址：

http://www.oracle.com/technetwork/server-storage/virtualbox/downloads/index.html

https://www.virtualbox.org/

缓解措施

高危：目前攻击代码已经公开，强烈建议尽快升级到无漏洞新版本或加固虚拟机环境避免被攻击（减少攻击面和提高利用漏洞难度）。

安全运营建议：VirtualBox历史上已经报过多个严重安全漏洞，建议使用该产品的企业经常关注官方安全更新公告。

- END -