Notices where this attachment appears
-
asrafil@pod.geraspora.de (asrafil@pod.geraspora.de)'s status on Wednesday, 07-Nov-2018 15:20:14 UTC 
asrafil@pod.geraspora.de
Publican un 0-day en #VirtualBox que permite escaparse de la máquina virtual y ejecutar código en el host : hackplayers
El investigador ruso Sergey Zelenyuk ha publicado información detallada de un zero-day en VirtualBox 5.2.20 y versiones anteriores que puede permitir a un atacante escapar literalmente de un máquina virtual y ejecutar código en ring 3 en el host. Luego se pueden usar las tradicionales técnicas para escalar privilegios a ring 0 vía /dev/vboxdrv.
Sergey, en total desacuerdo con la respuesta de Oracle en su programa de bug bounty y con el "mercadeo" actual de vulnerabilidades, ha publicado también un video con la PoC que muestra el 0-day en acción contra una máquina virtual de Ubuntu que se ejecuta dentro de VirtualBox en un sistema operativo host también de Ubuntu.
https://www.hackplayers.com/2018/11/publican-un-0-day-en-virtualbox.html
#Ñ #seguridad
Bobinas P4G is a social network. It runs on GNU social, version 2.0.1-beta0, available under the GNU Affero General Public License.
All Bobinas P4G content and data are available under the Creative Commons Attribution 3.0 license.