俄罗斯研究人员发现 VirtualBox 零时差漏洞

一名俄罗斯研究人员因不满业者处理态度，在GitHub上公开VirtualBox零时差漏洞，该漏洞可让黑客绕过Guest OS限制，在Host OS上执行程式。

一名俄罗斯的安全研究人员Sergey Zelenyuk本周透过GitHub披露了他所发现的VirtualBox零时差漏洞，而且还详细地一步步解说开採该漏洞的步骤，成功开采该漏洞将允许黑客绕过虚拟机作业系统（Guest OS），直接于主要作业系统（Host OS）上执行程式。Zelenyuk指出，不遵循所谓的责任揭露政策完全是因不满业者对待资讯安全的态度及作法。

VirtualBox为甲骨文在2008年买下昇阳（Sun Microsystems）时所获得的开源虚拟机器，它能够安装在Windows、macOS、Linux或Solaris等各种作业系统上，并支援Windows、Linux、BSD、Solaris或其它客座作业系统的建立与管理，同时它也是安全社群最爱的VM应用之一，利用它来分析恶意程式或执行反向工程。

Zelenyuk所发现的漏洞将允许恶意程式绕过VirtualBox的客座作业系统，直接于底层的主要作业系统上执行，虽然一开始只能在有限的kernel ring 3内执行，但仍能利用其它漏洞将权限扩张至ring 0。

此外，Zelenyuk也宣称自己所公布的攻击程式百分之百可靠，适用于所有版本的VirtualBox，也不受VirtualBox所安装的主/客作业系统的影响。

对于选择直接对外揭露，而非提交给甲骨文，Zelenyuk声称是因他不满意目前的资讯安全状态，特别是在安全研究及抓漏专案上，例如大家认为半年才能修好一个漏洞是没关系的，或是在提交漏洞一个月之后才告诉你该漏洞值不值钱，或是对于漏洞的接受与否朝令夕改，也缺乏精确的软体漏洞及赏金列表，他说他对这两件事已经感到疲倦了，因此决定全面公布漏洞细节，并希望各界对资安的态度能够往上提升。

根据ZDNet与BleepingComputer的报导，Zelenyuk在去年中曾经提报一个VirtualBox漏洞予甲骨文，但甲骨文花了15个月才悄悄地修补它，且未将此一漏洞的发现归功给Zelenyuk，可能是导致Zelenyuk心生不满的原因。

PS：果然地下世界还是俄罗斯、乌克兰黑客走在前面啊！！！

如果感觉文章不错，分享让更多的人知道吧！