ช่องโหว่การเรียกใช้โค้ดจากระยะไกลส่งผลต่อ VirtualBox

ตามแหล่งข้อมูลโปรไฟล์ Zero Day Initiative พบว่ามีการระบุช่องโหว่ที่มีรหัส CVE 2023-22018 ใน Oracle VirtualBox อนุญาตให้เรียกใช้โค้ดจากระยะไกลบนเครื่องเสมือนผ่านเซสชันโปรโตคอล RDP

ในการกำหนดค่าบางอย่าง ช่องโหว่อาจถูกโจมตีโดยผู้ใช้ที่ไม่ได้รับการรับรองความถูกต้องซึ่งมีการเข้าถึงเครือข่ายไปยังบริการ RDP

ปัญหานี้เกิดจากข้อบกพร่องในการจัดการคำขอส่งต่อการเข้าถึงอุปกรณ์ USB ไม่สามารถตรวจสอบขนาดของข้อมูลผู้ใช้ที่ส่ง ส่งผลให้มีการเขียนนอกบัฟเฟอร์หน่วยความจำที่จัดสรร

Oracle ได้แก้ไขช่องโหว่ในเวอร์ชันล่าสุดของ เวอร์ชวลบ็อกซ์ 7.0.10 และ เวอร์ชวลบ็อกซ์ 6.1.46. ขอแนะนำให้อัปเดต VirtualBox เป็นเวอร์ชันล่าสุดเพื่อแก้ไขช่องโหว่ CVE-2023-22018

คุณสามารถเรียนรู้เพิ่มเติมได้ ที่นี่.