СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Блоги
BI.ZONE
22.10.2025
#Dev#ИБ

BI.ZONE предупреждает о цепочке уязвимостей в Oracle VirtualBox

По шкале CVSS 3.1 CVE-2025-62592 получила оценку 6,0, а CVE-2025-61760 — 7,5.

Специалисты группы исследования уязвимостей BI.ZONE обнаружили две уязвимости (CVE-2025-62592 и CVE-2025-61760) в Oracle VirtualBox. В комбинации они позволяют выполнить побег из виртуальной машины VirtualBox на хостовую систему macOS на базе ARM. Это первая публично известная цепочка уязвимостей такого рода с момента выхода версии 7.1.0 VirtualBox в 2024 году, в которой появилась поддержка ARM в macOS.

Информация об уязвимостях была направлена вендору в рамках процедуры ответственного разглашения уязвимостей. Oracle выпустила 21 октября 2025 года критическое обновление безопасности (Critical Patch Update, CPU), которое устраняет проблему.

Первая уязвимость CVE-2025-62592 обнаружена в виртуальном графическом адаптере QemuRamFB в обработчике чтения MMIO qemuFwCfgMmioRead. Она позволяет атакующему вызвать Integer Underflow (CWE-191) и читать неограниченный объем памяти за пределами массива. Таким образом можно получить доступ к конфиденциальным данным, включая рандомизированные базовые адреса программ и библиотек. Уязвимость затрагивает только VirtualBox для macOS на базе процессора ARM.

Вторая найденная уязвимость CVE-2025-61760 находится в функции virtioCoreR3VirtqInfo и представляет собой переполнение буфера на стеке. Атакующий может воспользоваться CVE-2025-61760 при помощи информации, полученной при эксплуатации CVE-2025-62592. Затем он может «сбежать» из виртуальной машины на хостовую ОС и выполнить произвольный код, захватив управление гипервизором и другими виртуальными машинами. В результате злоумышленник может получить доступ к микрофону и камере устройства, читать и изменять любые файлы на Mac, в том числе файлы других приложений. Также он может запускать новые процессы, фактически получив почти полный контроль над хостовой ОС.

Павел Блинников, руководитель группы исследования уязвимостей, BI.ZONE:

«При разработке эксплойта для современных приложений атакующим чаще всего необходимо две уязвимости: для утечки ASLR и для повреждения структур в памяти процесса. Уязвимости, которые обнаружила наша команда, самодостаточны для такой цепочки. Их эксплуатация несколько затруднена защитными митигациями, такими как NX (No-eXecute) и stack canary, однако возможна при перезаписи других локальных переменных функции virtioCoreR3VirtqInfo».

Oracle VirtualBox — гипервизор второго типа, позволяющий виртуализировать гостевые операционные системы. Для предотвращения эксплуатации этой уязвимости необходимо обновить VirtualBox до версий 7.2.4 и 7.1.14.

BI.ZONE
Автор: BI.ZONE
BI.ZONE — компания по управлению цифровыми рисками, которая помогает организациям по всему миру безопасно развивать бизнес в цифровую эпоху. Специализируется на подготовке индивидуальных стратегий для сложных проектов на основе более чем 40 собственных продуктов и услуг, а также предлагает простые автоматизированные решения и аутсорсинг для небольших компаний. С момента основания в 2016 году реализовала более 850 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других. Компетенции команды BI.ZONE признаны на международном уровне и подтверждены сертификатами крупнейших мировых агентств.
Комментарии: