დისტანციური კოდის შესრულების დაუცველობა გავლენას ახდენს VirtualBox-ზე

Zero Day Initiative-ის პროფილის რესურსის მიხედვით, დაუცველობა CVE კოდით 2023-22018 გამოვლინდა Oracle VirtualBox-ში. ის საშუალებას აძლევს თვითნებური კოდის დისტანციურად შესრულებას ვირტუალურ მანქანებზე RDP პროტოკოლის სესიის საშუალებით.

ზოგიერთ კონფიგურაციაში, დაუცველობა შეიძლება გამოიყენოს არაავთენტიფიცირებულმა მომხმარებელმა, რომელსაც აქვს ქსელური წვდომა RDP სერვისზე.

პრობლემა გამოწვეულია USB მოწყობილობებზე წვდომის გადამისამართების მოთხოვნების დამუშავების შეცდომით. ის ვერ ამოწმებს გადაცემული მომხმარებლის მონაცემების ზომას, რაც იწვევს გამოყოფილი მეხსიერების ბუფერის გარეთ ჩაწერას.

Oracle-მა დააფიქსირა დაუცველობა უახლეს ვერსიებში VirtualBox 7.0.10 და VirtualBox 6.1.46. რეკომენდებულია VirtualBox-ის განახლება უახლესი ვერსიით CVE-2023-22018 დაუცველობის გამოსასწორებლად.

შეგიძლიათ მეტი გაიგოთ აქ.