Descubren 10 nuevas vulnerabilidades en VM VirtualBox

Oracle ha liberado un parche para solucionar diez vulnerabilidades en VirtualBox que permiten a los atacantes escapar de los sistemas operativos ‘huéspedes’ y atacar el sistema operativo host en el que se ejecuta VirtualBox.

VM VirtualBox soluciona sus graves problemas de seguridad

Los exploits que utilizan este método, conocido como «virtual machine escape», han sido objeto de un intenso interés por parte de los expertos en seguridad tras su revelación en el año 2015.

Las vulnerabilidades se publican como; CVE-2018-2676, CVE-2018-2685, CVE-2018-2686, CVE-2018-2687, CVE-2018-2688, CVE-2018-2689, CVE-2018-2690, CVE-2018-2693, CVE-2018-2694, y CVE-2018-2698. Si bien todos ellos comparten el mismo efecto, el método involucrado -y posteriormente la facilidad con la que los atacantes pueden aprovechar la vulnerabilidad- varía según el tipo.

Cualquiera que utilice VirtualBox es potencialmente vulnerable a los CVE listados anteriormente, aunque algunas de las vulnerabilidades reportadas son específicas de los sistemas operativos que se ejecutan en el host. Los parches recién lanzados están disponibles en la última versión (5.2.6), así como la versión antigua (5.1.32).

Los desarrolladores de esta aplicación recomiendan que todos los usuarios que ejecutan código -no confiable- en los VMs invitados, actualicen la aplicación urgentemente.

Aunque VirtualBox es una aplicación popular para propósito general, se usa más comúnmente para la virtualización de escritorios. En comparación con otras apps, la aplicacion de Oracle tiene un soporte más extenso y confiable para sistemas operativos huéspedes no comúnmente utilizados, como OS/2 o Haiku. El soporte para el controlador huésped de VirtualBox también se está integrando en el núcleo de Linux, a partir de la versión 4.16.

Pueden actualizarse desde la misma aplicación.