آسیب پذیری های متعدد٠خطای ØاÙظه در نرم اÙزار Oracle VirtualBox
Ù…Øققان به تازگی دسته ای از آسیب پذیری های مربوط به خطای ØاÙظه در نرم اÙزار VirtualBox متعلق به شرکت Oracle را کش٠کرده اند Ú©Ù‡ Ù…ÛŒ تواند برای مهاجمان امکان اجرای کد از راه دور را Ùراهم کند.
VirtualBox بسته ÛŒ نرم اÙزاری٠مجازی سازی برای معماری های x86 Ùˆ AMD64/Intel64-based Ù…ÛŒ باشد، علاوه بر ویژگی های اصلی مجازی سازی، این نرم اÙزار به ماشین های مجازی اجازه Ù…ÛŒ دهد تا از GPU (پردازنده ÛŒ گراÙیکی) ماشین میزبان به منظور ارائه ÛŒ تصاویر سه بعدی مبتنی بر OpenGL یا Direct3D بهره ببرند.
همین ÙˆÛŒÚ˜Ú¯ÛŒÙ Ù…Ø·Ø±Ø Ø´Ø¯Ù‡ به مهاجم این امکان را Ù…ÛŒ دهد تا با آسیب پذیری های ØاÙظه ÛŒ این نرم اÙزار، یک کد مخربی Ú©Ù‡ در ماشین مجازی در Øال اجراست را به ماشین میزبان انتقال دهند.
VirtualBox از کتاب خانه ÛŒ متن باز٠Chromium (این کتاب خانه با مرورگر متن باز Chromium از خانواده ÛŒ کروم متÙاوت است) برای ایجاد گراÙیک سه بعدی٠OpenGL بهره Ù…ÛŒ برد، Ùˆ Chromium امکان تغییرات از راه دور مبتنی بر مدل کارگزار/مشتری را دارد Ùˆ به همین دلیل OpenGL Ú©Ù‡ در این جا مشتری است Ù…ÛŒ تواند به سخت اÙزار واقعی مربوط به میزبان دست رسی پیدا کند.
در این Øالت، OpenGL Ùرمان های تغییر Ùˆ ارائه ÛŒ تصاویر (rendering commands) را به کارگزار٠Chromium Ú©Ù‡ در رایانه ÛŒ میزبان است ارسال Ù…ÛŒ کند، کدی Ú©Ù‡ مدیریت Ùرمان های OpenGL را بر عهده دارد دارای آسیب پذیری های متعدد در خطای ØاÙظه است.
خطر این آسیب پذیری به این علت است Ú©Ù‡ یکی از ویژگی های اصلی مجازی سازی این است Ú©Ù‡ ماشین مجازی کاملاً مستقل از ماشین میزبان است Ùˆ آلودگی های بداÙزاری از ماشین مجازی به ماشین میزبان نمی تواند منتقل شود Ùˆ اگر این چنین باشد، بسیاری از ماشین های مبتنی بر مدل مجازی کارایی خود را از دست Ù…ÛŒ دهند Ùˆ Øتی اغلب تØلیل گران بداÙزار، نمونه های بداÙزاری خود را در ماشین های مجازی اجرا Ù…ÛŒ کنند Ùˆ به همین علت وجود چنین آسیب پذیری در ماشین های مجازی بسیار خطرناک است.
به نظر Ù…ÛŒ رسد Ú©Ù‡ این آسیب پذیری در صورتی Ú©Ù‡ ویژگی٠3D Acceleration در نرم اÙزار Ùعال باشد قابل سوء استÙاده است.
کارشناسان شرکت امنیتی٠Core Security Ú©Ù‡ این آسیب پذیری را کش٠کرده اند، گزارش داده اند این آسیب پذیری در نسخه های VirtualBox v4.2.20 Ùˆ قدیمی تر Ùˆ هم چنین در نسخه های VirtualBox v4.3.6 Ùˆ قدیمی تر وجود دارد. سایر نسخه ها نیز ممکن است تØت تاثیر این آسیب پذیری باشند Ú©Ù‡ هنوز مشخص نشده اند.
از آن جایی Ú©Ù‡ اØتمالاً وصله ای برای این آسیب پذیری ارائه نخواهد شد Ùˆ اوراکل به منظور رÙع این خطر، پیکربندی ویژگی را تغییر خواهد داد، به کاربران توصیه Ù…ÛŒ شود برای در امان ماندن از خطر٠این آسیب پذیری تا اطلاع ثانوی، ویژگی٠3D Acceleration را غیرÙعال کنند.
منبع +