Seguridad

Descubren 10 nuevas vulnerabilidades en VM VirtualBox

Oracle ha liberado un parche para solucionar diez vulnerabilidades en VirtualBox que permiten a los atacantes escapar de los sistemas operativos ‘huéspedes’ y atacar el sistema operativo host en el que se ejecuta VirtualBox.

VM VirtualBox soluciona sus graves problemas de seguridad

vm virtualbox

Los exploits que utilizan este método, conocido como “virtual machine escape”, han sido objeto de un intenso interés por parte de los expertos en seguridad tras su revelación en el año 2015.

Las vulnerabilidades se publican como; CVE-2018-2676, CVE-2018-2685, CVE-2018-2686, CVE-2018-2687, CVE-2018-2688, CVE-2018-2689, CVE-2018-2690, CVE-2018-2693, CVE-2018-2694, y CVE-2018-2698. Si bien todos ellos comparten el mismo efecto, el método involucrado -y posteriormente la facilidad con la que los atacantes pueden aprovechar la vulnerabilidad- varía según el tipo.

Cualquiera que utilice VirtualBox es potencialmente vulnerable a los CVE listados anteriormente, aunque algunas de las vulnerabilidades reportadas son específicas de los sistemas operativos que se ejecutan en el host. Los parches recién lanzados están disponibles en la última versión (5.2.6), así como la versión antigua (5.1.32).

Los desarrolladores de esta aplicación recomiendan que todos los usuarios que ejecutan código -no confiable- en los VMs invitados, actualicen la aplicación urgentemente.

Aunque VirtualBox es una aplicación popular para propósito general, se usa más comúnmente para la virtualización de escritorios. En comparación con otras apps, la aplicacion de Oracle tiene un soporte más extenso y confiable para sistemas operativos huéspedes no comúnmente utilizados, como OS/2 o Haiku. El soporte para el controlador huésped de VirtualBox también se está integrando en el núcleo de Linux, a partir de la versión 4.16.

TE RECOMENDAMOS
VirtualBox portable: Ejecuta tus máquinas en cualquier equipo

Pueden actualizarse desde la misma aplicación.

Fuente
Techrepublic
Cargar más

Gustavo Gamarra

Soy operador de PC e instalador de redes informáticas , redactor y escritor en mis ratos libres. Amante de la tecnología, el cine, el fútbol y los videojuegos. Les escribo desde Buenos Aires, Argentina.
Los datos de carácter personal que nos facilite mediante este formulario quedarán registrados en un fichero de Miguel Ángel Navas Carrera, con la finalidad de gestionar los comentarios que realizas en este blog. La legitimación se realiza a través del consentimiento del interesado. Si no se acepta no podrás comentar en este blog. Puedes consultar Política de privacidad. Puede ejercitar los derechos de acceso, rectificación, cancelación y oposición en info@profesionalreview.com
Botón volver arriba
Cerrar