ثغرة أمنية في VirtualBox تُمكّن من الخروج من الجهاز الظاهري: تجاوز سعة الأعداد الصحيحة يؤدي إلى اختراق المضيف
2025-05-17
تُتيح ثغرة أمنية خطيرة في تجاوز سعة الأعداد الصحيحة في دالة vmsvga3dSurfaceMipBufferSize في VirtualBox للمهاجمين التلاعب بدالة malloc، وتخصيص 0 بايت بينما يتعقب VirtualBox حجم مُخزن مؤقت أكبر. وهذا يؤدي إلى بدائيات قراءة/كتابة خطية، مما يُصعّد إلى الوصول للقراءة/الكتابة التعسفي لذاكرة المضيف. تُظهر إحدى نماذج البرهان إمكانية الخروج الكامل من الجهاز الظاهري. تتضمن عملية الاستغلال تشغيل تخصيص سطح خاطئ، واستغلال عمليات القراءة/الكتابة خارج الحدود، والتخصيص التعسفي للتراكم، وأخيراً الحصول على تحكم RIP لتنفيذ التعليمات البرمجية التعسفية. تتوفر التصحيحات؛ يجب على المستخدمين التحديث فوراً.
التكنولوجيا
الخروج من الجهاز الظاهري