「VirtualBox」にゼロデイ脆弱性 ~ロシアのセキュリティ研究者が“GitHub”で明らかに - 窓の杜

28コメント 登録日時:2018-11-08 17:38 | 窓の杜キャッシュ

 「VirtualBox」のゼロデイ脆弱性が11月8日(日本時間)、ロシアのセキュリティ研究者Sergey Zelenyuk氏によって明らかにされた。「VirtualBox」の仮想マシン(ゲストOS)から抜け出し、「VirtualBox」を実行しているホストOSで任意のコードを実行できる欠陥が存在するという。...

Twitterのコメント(28)

脆弱性の修正に半年は待たされる点、バグ報奨プログラムにおける採用基準や報奨金が明確でなかったり、突然判断が覆ったりする点に同氏は不満を抱いており、問題提起のために公開に踏み切ったようだ

まぁ Oracleだし
"「VirtualBox」の仮想マシン(ゲストOS)から抜け出し、「VirtualBox」を実行しているホストOSで任意のコードを実行できる" ひょえ… /
VMWare Fusionの10.14もリリースノートみると仮想ネットワークアダプタに手を入れてるらしいけれど。
これと同じような脆弱性があったのかな。
これはアカンやつでは… 対応状況含め
これは言っとかないと。
ホストOS側に対して任意のコードを実行できるの危険すぎワロタ。設定で回避できるのなら、対応しなくてはだ。 /
「問題提起のために公開に踏み切ったようだ」
この表現覚えた。たぶん、腹いせという意味。
初期設定なら起きうる脆弱性だが、対応まで半年か… >
ベンダーとどういうやり取りがあったかわからないけど、実際困るのは、ユーザだからな。
ユーザから苦情の嵐が起こるかどうか。 / 「VirtualBox」にゼロデイ脆...
githubに詳細書いてあるっぽいし見たい
うっ、修正版には半年待つんだろうか。
俺はもう使ってないけどなー
これはまずいのでは? /
ヴァーチャルボックスにヴァルネラビリティ ヴァー
つらい。 /
ちょ、これ久々に直撃な予感!
Oracle の対応がダメダメだったことが原因ですね。 / "で明らかに/脆弱性の修正に半年は待たされる点やバグ報奨プログラムの運用に不満か (窓の杜)
"ホストOSの種類は問われない。仮想ネットワークアダプターの割り当てが"NAT"で、タイプが"Intel PRO/1000 MT Desktop(82540EM)"にセットされていることだけが条件" /
脆弱性の修正に半年は待たされる点、バグ報奨プログラムにおける採用基準や報奨金が明確でなかったり、突然判断が覆ったりする点に同氏は不満を抱いており、問題提起のために公開に踏み切ったようだ。
Oracleはやっぱり残念です。VirtualBoxの問題を指摘したのに、なかなかなおしてくれない。同社のものは使わないのが吉なのか。
あちゃー(→ )
仮対応策は何なのかな

>
「脆弱性の修正に半年は待たされる点、バグ報奨プログラムにおける採用基準や報奨金が明確でなかったり、突然判断が覆ったりする点に同氏は不満を抱いており、」
>"脆弱性の修正に半年は待たされる点、バグ報奨プログラムにおける採用基準や報奨金が明確でなかったり、突然判断が覆ったりする点"
報告に対する報奨金って大事なんやな……。
"で明らかに/脆弱性の修正に半年は待たされる点やバグ報奨プログラムの運用に不満か
"仮想ネットワークアダプターの割り当てが"NAT"で、タイプが"Intel PRO/1000 MT Desktop(82540EM)"にセットされていることだけが条件だ"

割と限定的な脆弱性だけど、半年放置はちょっと
以上

記事本文: 「VirtualBox」にゼロデイ脆弱性 ~ロシアのセキュリティ研究者が“GitHub”で明らかに - 窓の杜

関連記事