黑客对负责任的披露感到不满
Oracle VirtualBox技术中尚未提及的漏洞的详细信息已在线删除。
而不是试图要求错误赏金,漏洞的发现者倾倒的细节脆弱性和相关的利用在github上。
研究人员,为Nom de GuerreMortEnoir1的著作,引用不满意的是,在解释其行动时,对虫子的姓名和整体不满的方式不满。
漏洞本身是从Oracle的开源管理程序技术VirtualBox脱颖而出的客人到主机逃生。
Mortenoir1解释说:“我喜欢VirtualBox,这与为什么发布零日漏洞无关。”“原因是我与当代Infosec的分歧,特别是安全研究和漏洞赏金[计划]。”
VirtualBox 5.2.20和先验是脆弱的,但仅在某些配置中。
该漏洞仅在网络卡为Intel Pro/1000 mt桌面(82540EM)的设置中有效,并且模式为NAT,均为默认模式。更改虚拟机上的网卡或移至寄生虫网络会防止攻击。
Mortenoir1补充说:“ E1000有一个脆弱性,允许客人中具有根/管理员特权的攻击者逃脱到主机环3,” Mortenoir1补充说,“然后,攻击者可以使用现有技术将特权升级为通过/dev/vboxdrv。”
用户 - Sergey Zelenyuk - 发布了动作中的视频通过Vimeo:
问题的根本原因是VirtualBox的网络代码中的缓冲区溢出问题。
发现缺陷的研究人员并没有费心向Oracle报告,这可能是因为软件巨头据说花了整整15个月的时间来解决以前的类似问题。
每日swbeplay2018官网ig询问Team VirtualBox,以评论其通过Twitter的响应。当我们听到更多信息时,我们将更新此故事。
