Обнаружены уязвимости в продуктах виртуализации от Oracle и VMware

Компания Digital Security, объявила об обнаружении уязвимостей в Oracle VirtualBox и VMware Workstation, Player и Fusion в ходе исследовательской работы, посвященной технологиям виртуализации. Проблемы безопасности в компонентах, отвечающих за виртуализацию, нашли исследователи Петр Каменский и Георгий Носенко.

Обнаруженные уязвимости имеют разную степень критичности: с их помощью возможно осуществить не только атаки на отказ в обслуживании, но и даже потенциально побег из гостевой машины.

Эксперты Digital Security передали информацию о найденных «багах» вендорам — компаниям Oracle и VMware. Уязвимостям были присвоены соответствующие позиции в классификациях производителей ПО, выпущены обновления. При этом часть найденных уязвимостей еще находится в стадии закрытия, и о них будет объявлено позднее.

«В ходе данного исследования мы анализировали защищенность технологий, связанных с виртуализацией, а также проверяли возможность реализации атак на них. Поиск уязвимостей осуществлялся как по исходному коду (VirtualBox), так и без него (VMware). Работа была непростой и долгой, без специальных знаний здесь невозможно получить результат. Теперь у нас есть серьезный опыт анализа технологий виртуализации, и мы будем продолжать работать в данном направлении», — рассказал Дмитрий Евдокимов, директор исследовательского центра Digital Security.

Эксперты Digital Security проводят масштабное исследование защищенности технологий виртуализации уже более года. В рамках этого направления были обнаружены также уязвимости в продуктах для антивирусной защиты с технологией аппаратной виртуализации, в том числе MacAfee DeepDefender и Avast DeepScreen.