Nuotolinio kodo vykdymo pažeidžiamumas paveikia „VirtualBox“.
Remiantis „Zero Day Initiative“ profilio šaltiniu, „Oracle VirtualBox“ buvo nustatytas pažeidžiamumas su CVE kodu 2023-22018. Tai leidžia nuotoliniu būdu vykdyti savavališką kodą virtualiose mašinose per KPP protokolo seansą.
Kai kuriose konfigūracijose pažeidžiamumu gali pasinaudoti neautentifikuotas vartotojas, turintis tinklo prieigą prie KPP paslaugos.
Problemą sukėlė klaida tvarkant užklausas persiųsti prieigą prie USB įrenginių. Nepavyksta patikrinti perduotų vartotojo duomenų dydžio, todėl įrašoma už skirto atminties buferio ribų.
„Oracle“ ištaisė pažeidžiamumą naujausiose versijose VirtualBox 7.0.10 ir VirtualBox 6.1.46. Norint pašalinti CVE-2023-22018 pažeidžiamumą, rekomenduojama atnaujinti „VirtualBox“ į naujausią versiją.
Galite sužinoti daugiau čia.
Jei jums patinka šis straipsnis, pasidalykite juo naudodami toliau esančius mygtukus. Tai iš jūsų nereikės daug, bet padės mums augti. Ačiū už tavo pagalbą!
Reklama