VirtualBoxの仮想NICに脆弱性、ホストで任意のコードを実行できる可能性 25
ストーリー by hylom
ピンポイントな 部門より
ピンポイントな 部門より
90曰く、
VirtualBoxに新たな脆弱性が見つかった。この脆弱性を悪用することで、仮想マシン内からホストOSで任意のコードを実行できるという(窓の杜、GitHubで公開された脆弱性に関する情報)。VirtualBox 5.2.20以前が個の問題の影響を受けるという。
この脆弱性はVirtualBoxでデフォルトで選択される「Intel PRO/1000 MT Desktop(82540EM)」仮想ネットワークアダプタに起因するもの。悪用することでホストのring 3権限が取得でき、適当な別の脆弱性と組み合わせることができる。仮想デバイスをPCnetに変更するかNAT以外のモードに切り替えることで回避できる。
興味深いことに、発見者はこの脆弱性を0-dayという形で公開している。背景にはバグ報奨金に関して脆弱性発見者がベンダと共謀して公開を遅らせること、支払い基準が不透明なこと、(HeartbleedやMeltdownのように)名前をつけて大々的に騒ぐことなどへの不満があるようだ。
バージョン (スコア:0)
> VirtualBox 5.2.20以前が個の問題の影響を受けるという。
5.2.20は現行の最新バージョンだから、次のリリースで直ってる保障はないんじゃない?
Re:バージョン (スコア:2)
未来のバージョン番号は予測できないのでは?
Re:バージョン (スコア:1)
今まではWindowsのみ現実的な回避策が存在しない状況でしたが 5.2.20 でついにウィンドウズにも回避策が導入されました。まあ脆弱性の公開前に導入されたのですが。オラクルはこのようにアナウンスしております『estore connectivity for guests bridged to host adapters that were unavailable temporarily (Windows hosts, bug #17090) 』
直っている保証はないけれど直っていない確証もない以上こういう書き方が普通でしょう。とか言ってるうちに 5.2.22が出たんだけど。
#Virtual Boxのリリースノートを読んでると『たくさん』を意味する英語表現が『たくさん』身につく。
Re: (スコア:0)
直らないという保証もない
Re: (スコア:0)
そりゃそうだけど、それなら全部って言えばいいのに。
Re: (スコア:0)
あとでニュースを見返したときに、どのバージョンが対象かわからなくなる
Re:バージョン (スコア:2)
Re: (スコア:0)
現時点の情報だから問題なし。
該当脆弱性がまだ残ってるままリリースされたら、改めてその時にニュースにしましょう。
Re: (スコア:0)
まあ、保障はないわな
Re: (スコア:0)
もちろん補償もない
これもOracleリスクって奴なんですか? (スコア:0)
Oracle嫌われ過ぎのような。
遅さとか対応が安定しないのはOracleの悪い所っぽいような気がしないでもないですが。
Re: (スコア:0)
実際対応が悪い(報告しても反映するまで遅い、報告制度を無視してサイレントに反映する)から、ゼロデイ公開したってのが今回の経緯ですね。
ちょっと便利そう (スコア:0)
なんとなく便利そうだけど具体的なことは思いつかなかった
Re: (スコア:0)
普通は、何か思いついてから便利そうと感じるもんだけどな
Re: (スコア:0)
そうでもないぞ
「これはなにかに使えそうだ!」と感じるセンスは大事。
Re: (スコア:0)
まぁ能書きはいいからやってみろって話じゃないかな
0-dayの理由 (スコア:0)
後半は納得できるんだけど、公開を遅らせるのはその時点でその脆弱性を知らない攻撃者による被害を避けるためで完全に合理的な処理だろうが。
各社の報奨金プログラムではなく適当なCSIRTに叩きつけて規定公開日に自分でも公開、で良いじゃねぇか。
なんか、不満があるからって筋の通らん即日公開する奴が多すぎるな。
非公開で連絡してくる奴に対してすら攻撃とか吐かして脅してくるクソ企業が多い中、
セキュリティ研究者の立場は公益性でなんとか支えられているような物だっていうのに……
公益のためには透明性のある報奨金プログラムが必要ってのはわかるけど、
脅迫じみた手段を取ったら現在の体制による公益すら保てない可能性があると分かっているのかだろうか。
Re: (スコア:0)
発見者が一人と、いつから錯覚していた?
Re: (スコア:0)
適当なCSIRTを通してもベンダと発見者の間って企業対個人の関係になって、無期限NDA結ばされたり訴訟起こされたりリスク大きすぎるんじゃないの
だって企業からしたら実害発生して顧客から訴訟起こされて賠償額が上がってきた時点で初めて「未発見でした、対策不能です、新製品買って」って強弁するのが完全に正しいし
無用な問題起こすなってのは分かるけど海外だと問題がある時に声を上げないのは現状から後退することに異議ありませんって意見表明と見なされるし
Re: (スコア:0)
脅迫にならないようにだけは注意が必要だが、CSIRTか企業どっちでもいいけど一方的に送りつけて期限で公開しときゃそれでいいだろう。
態々直接やり取りしてNDA結びに行く必要はない。
というかそんなNDA要求されたらそれこそ公開する名目が出来るかと。
「修正する気がないNDAを要求してきたので危険周知のため即時公開します」とかね。
> 後退することに異議ありませんって意見表明
この場合は前進しないで停滞するか、後退覚悟で強行するかの選択じゃないかね。
マスコミ嫌い? (スコア:0)
大々的に騒ぐのは広く知らしめたり真剣に懸念させる点では有効。
何せ騒がれないと安易に考える(IT)素人が管理職をしている職場があるのが不可避な世の中ですから。
Re: (スコア:0)
そういう輩がいちいちムダに騒ぎすぎるとウンザリされる [security.srad.jp]んだよな
「オオカミが来たぞ~~~~wwww」って
Re: (スコア:0)
今回の発見者の言うことはよくわからん。
HeartbleedもMeltdownとは深刻度がまるで違う。
名前をつけて大々的に騒ぐこと (スコア:0)
大正義Google先生をディスるのはやめろ。