ニュース

「VirtualBox」にゼロデイ脆弱性 ~ロシアのセキュリティ研究者が“GitHub”で明らかに

脆弱性の修正に半年は待たされる点やバグ報奨プログラムの運用に不満か

“GitHub”に公開されたドキュメント

 「VirtualBox」のゼロデイ脆弱性が11月8日(日本時間)、ロシアのセキュリティ研究者Sergey Zelenyuk氏によって明らかにされた。「VirtualBox」の仮想マシン(ゲストOS)から抜け出し、「VirtualBox」を実行しているホストOSで任意のコードを実行できる欠陥が存在するという。

 “GitHub”で公開されたドキュメントによると、本脆弱性は「VirtualBox」v5.2.20(現行版)およびそれ以前のバージョンで再現可能。仮想ネットワークカードの実装に存在する不具合を引き金に、既知の脆弱性などを組み合わせることで、特権レベルでのコード実行が可能になるという。

VirtualBox E1000 Guest-to-Host EscapefromSergey ZelenyukonVimeo.

 「VirtualBox」はさまざまなプラットフォームで動作するが、この欠陥は共有コードベースに存在するため、ホストOSの種類は問われない。仮想ネットワークアダプターの割り当てが“NAT”で、タイプが“Intel PRO/1000 MT Desktop(82540EM)”にセットされていることだけが条件だ(これは仮想マシンの初期設定でもある)。

 こうした脆弱性は本来、悪意ある攻撃者に利用されてしまうのを防ぐため、まずベンダー(「VirtualBox」の場合、Oracle)に通知し、パッチがリリースされるのを待ってから公開すべきだ。しかし、脆弱性の修正に半年は待たされる点、バグ報奨プログラムにおける採用基準や報奨金が明確でなかったり、突然判断が覆ったりする点に同氏は不満を抱いており、問題提起のために公開に踏み切ったようだ。