Bislang ungepatchte Sicherheitslücke in VirtualBox

Ein Sicherheitsforscher ist über Oracles Umgang mit gemeldeten Bugs unzufrieden und hat nun vorab Infos zu einer Lücke in VirtualBox veröffentlicht.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen
Bislang ungepatchte Sicherheitslücke in VirtualBox

(Bild: geralt)

Lesezeit: 2 Min.

Die Virtualisierungssoftware VirtualBox von Oracle soll unter allen Betriebssystemen verwundbar sein. Stimmen die Voraussetzungen, könnte ein Angreifer aus einer VM ausbrechen und Code im Hostsystem ausführen. Eine abgesicherte Version ist bis dato noch nicht in Aussicht, da der Entdecker der Lücke die Infos Oracle vorab nicht mitgeteilt hat. Schützen kann man sich aber trotzdem.

Diese Art der Offenlegung verstößt gegen die Responsible-Disclosure-Richtlinie. Normalerweise sollten Softwarehersteller vor der Öffentlichkeit von Sicherheitslücken erfahren, um reparierte Versionen von verwundbarer Software veröffentlichen zu können.

In diesem Fall hat sich der Sicherheitsforscher bewusst dagegen entschieden, weil er generell mit der Vorgehensweise von Oracle nach dem Melden von Bugs unzufrieden ist. Das und ausführliche Details zur Lücke führt er auf Github aus. Die Lücke wurde noch keiner CVE-Nummer zugeteilt. Auch eine Bewertung des Angriffsrisikos steht noch aus.

Nun liegen ausführliche Details zur Lücke inklusive Code-Beispielen zum Ausnutzen und ein Video vor. Bedroht sollen alle VirtualBox-Ausgaben in den Standardeinstellungen bis einschließlich 5.2.20 auf allen Betriebssystemen sein. Den Angriffspunkt bildet das voreingestellte virtuelle Netzwerkgerät Intel PRO/1000 MT Desktop (82540EM) im NAT-Modus.

Damit eine Attacke erfolgreich ist, muss ein Angreifer als Admin in einer VM aktiv sein. Dann soll er mit vergleichsweise viel Aufwand Speicherfehler auslösen und letztlich mit niedrigen Nutzerrechten (Ring 3) im Host landen. Von dort könnte er sich dann über weitere, nicht weiter ausgeführte, Schwachstellen höhere Rechte aneignen. Eigenen Angaben zufolge hat der Sicherheitsforscher das erfolgreich unter den x86- und x64-Versionen von Ubuntu 16.04 und 18.04 ausprobiert.

Wer sein System vor Angriffen dieser Art schützen will, muss lediglich eine anderes virtuelles Netzwerkgerät als das Voreingestellte auswählen. Nun bleibt abzuwarten, wie Oracle auf das Problem reagiert. (des)