Oracle: Исправление уязвимости в решениях компании


OracleКомпания Oracle выпустила очередное обновление для своего программного обеспечения, предназначенного для виртуализации. Данный пакет обновлений призван исправить брешь под названием VENOMM - позволяет обойти ограничения песочницы и выполнить код на хост-машине. Компания последовала примеру Xen и KVM, уже исправившим уязвимость переполнения буфера. Вредоносное ПО VENOM не затрагивает продукты:

  • VMware;
  • Microsoft;
  • Bochs.


Уязвимость присутствовала в:

  • VirtualBox версий 3.2, 4.0, 4.1, 4.2 и 4.3 до 4.3.28;
  • Oracle VM 2.2, 3.2 и 3.3;
  • Oracle Linux 5, 6 и 7.


Из официального сообщения компании, исправления были выпущены исключительно для поддерживаемых ею продуктов, которые попадают под действие Premier Support или Extended Support. Всем пользователям, работающим с поддерживаемыми версиями, рекомендуется убедиться в том, что они продолжают получать обновления.

Напомним, уязвимость CVE-2015-3456 присутствовала в Floppy Disk Controller (FDC), который используется во многих платформах для виртуализации, в том числе производства Oracle. Брешь позволяет злоумышленнику, при наличии у него доступа к учетной записи в гостевой ОС, получить привилегии для доступа к FDC и внедрить вредоносный код, выполняемый в контексте процесса гипервизора на хост-системе.

Отметим, что эксплуатация уязвимости возможна только если атакующий авторизован в песочнице. Тем не менее, пользователям ПО от Oracle настоятельно рекомендуется установить обновления.


Обновлено (19.05.2015 23:46)