Mise à jour de sécurité pour VirtualBox

VirtualBox est un logiciel de virtualisation disponible pour Windows, Linux et Mac OS. Il intègre de nombreuses fonctionnalités dont l'accélération 3D pour les OS invités par l'intermédiaire des Additions invités (équivalent aux VMware Tools et Services d'intégration d'Hyper-V).

icone-virtualboxCette fonctionnalité autorise la machine virtuelle d'utiliser la puce graphique (GPU) de la machine hôte afin d'optimiser le rendu des graphiques 3D basés sur OpenGL et les API Direct3D.

C'est d'ailleurs cette fonctionnalité qui fait l'objet de bulletins de sécurité (CVE-2014-0981 / CVE-2014-0982 / CVE-2014-0983). Plusieurs vulnérabilités de corruption de mémoire ont été trouvées dans le code implémenté pour la fonctionnalité d'Accélération 3D pour OpenGL de VirtualBox.

Ces vulnérabilités pourraient autoriser un hacker qui exécute déjà du code dans un OS invité "d'échapper" à la machine virtuelle afin d'exécuter du code arbitraire directement sur l'OS de la machine hôte (où est installée VirtualBox).

Les versions affectées sont :

- Oracle VirtualBox v4.2.20 et versions plus anciennes
- Oracle VirtualBox v4.3.6 et versions plus anciennes

Il est précisé que d'autres versions peuvent être affectées. Toutes les versions n'ont pas été testées.

La version de VirtualBox 4.3.8 ne contient plus cette vulnérabilité.

Pour plus d'informations sur l'aspect technique, consultez cet article (en) : Oracle VirtualBox 3D Acceleration Multiple Memory Corruption Vulnerabilities

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Consultant chez Délibérata le jour, blogueur pour IT-Connect la nuit, je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 2188 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.