パスワードを忘れた? アカウント作成
13764750 story
バグ

VirtualBoxの仮想NICに脆弱性、ホストで任意のコードを実行できる可能性 25

ストーリー by hylom
ピンポイントな 部門より
90曰く、

VirtualBoxに新たな脆弱性が見つかった。この脆弱性を悪用することで、仮想マシン内からホストOSで任意のコードを実行できるという(窓の杜GitHubで公開された脆弱性に関する情報)。VirtualBox 5.2.20以前が個の問題の影響を受けるという。

この脆弱性はVirtualBoxでデフォルトで選択される「Intel PRO/1000 MT Desktop(82540EM)」仮想ネットワークアダプタに起因するもの。悪用することでホストのring 3権限が取得でき、適当な別の脆弱性と組み合わせることができる。仮想デバイスをPCnetに変更するかNAT以外のモードに切り替えることで回避できる。

興味深いことに、発見者はこの脆弱性を0-dayという形で公開している。背景にはバグ報奨金に関して脆弱性発見者がベンダと共謀して公開を遅らせること、支払い基準が不透明なこと、(HeartbleedやMeltdownのように)名前をつけて大々的に騒ぐことなどへの不満があるようだ。

  • by Anonymous Coward on 2018年11月09日 18時10分 (#3513067)

    > VirtualBox 5.2.20以前が個の問題の影響を受けるという。

    5.2.20は現行の最新バージョンだから、次のリリースで直ってる保障はないんじゃない?

    ここに返信
    • by 90 (35300) on 2018年11月09日 18時24分 (#3513072) 日記

      未来のバージョン番号は予測できないのでは?

    • by Anonymous Coward on 2018年11月09日 20時23分 (#3513117)

      今まではWindowsのみ現実的な回避策が存在しない状況でしたが 5.2.20 でついにウィンドウズにも回避策が導入されました。まあ脆弱性の公開前に導入されたのですが。オラクルはこのようにアナウンスしております『estore connectivity for guests bridged to host adapters that were unavailable temporarily (Windows hosts, bug #17090) 』
      直っている保証はないけれど直っていない確証もない以上こういう書き方が普通でしょう。とか言ってるうちに 5.2.22が出たんだけど。
      #Virtual Boxのリリースノートを読んでると『たくさん』を意味する英語表現が『たくさん』身につく。

    • by Anonymous Coward

      直らないという保証もない

    • by Anonymous Coward

      現時点の情報だから問題なし。
      該当脆弱性がまだ残ってるままリリースされたら、改めてその時にニュースにしましょう。

    • by Anonymous Coward

      まあ、保障はないわな

  • by Anonymous Coward on 2018年11月09日 19時59分 (#3513109)

    Oracle嫌われ過ぎのような。

    遅さとか対応が安定しないのはOracleの悪い所っぽいような気がしないでもないですが。

    ここに返信
    • by Anonymous Coward

      実際対応が悪い(報告しても反映するまで遅い、報告制度を無視してサイレントに反映する)から、ゼロデイ公開したってのが今回の経緯ですね。

  • by Anonymous Coward on 2018年11月09日 20時10分 (#3513112)

    なんとなく便利そうだけど具体的なことは思いつかなかった

    ここに返信
    • by Anonymous Coward

      普通は、何か思いついてから便利そうと感じるもんだけどな

      • by Anonymous Coward

        そうでもないぞ
        「これはなにかに使えそうだ!」と感じるセンスは大事。

        • by Anonymous Coward

          まぁ能書きはいいからやってみろって話じゃないかな

  • by Anonymous Coward on 2018年11月10日 4時32分 (#3513229)

    後半は納得できるんだけど、公開を遅らせるのはその時点でその脆弱性を知らない攻撃者による被害を避けるためで完全に合理的な処理だろうが。
    各社の報奨金プログラムではなく適当なCSIRTに叩きつけて規定公開日に自分でも公開、で良いじゃねぇか。

    なんか、不満があるからって筋の通らん即日公開する奴が多すぎるな。
    非公開で連絡してくる奴に対してすら攻撃とか吐かして脅してくるクソ企業が多い中、
    セキュリティ研究者の立場は公益性でなんとか支えられているような物だっていうのに……
    公益のためには透明性のある報奨金プログラムが必要ってのはわかるけど、
    脅迫じみた手段を取ったら現在の体制による公益すら保てない可能性があると分かっているのかだろうか。

    ここに返信
    • by Anonymous Coward

      発見者が一人と、いつから錯覚していた?

    • by Anonymous Coward

      適当なCSIRTを通してもベンダと発見者の間って企業対個人の関係になって、無期限NDA結ばされたり訴訟起こされたりリスク大きすぎるんじゃないの
      だって企業からしたら実害発生して顧客から訴訟起こされて賠償額が上がってきた時点で初めて「未発見でした、対策不能です、新製品買って」って強弁するのが完全に正しいし
      無用な問題起こすなってのは分かるけど海外だと問題がある時に声を上げないのは現状から後退することに異議ありませんって意見表明と見なされるし

      • by Anonymous Coward

        脅迫にならないようにだけは注意が必要だが、CSIRTか企業どっちでもいいけど一方的に送りつけて期限で公開しときゃそれでいいだろう。
        態々直接やり取りしてNDA結びに行く必要はない。
        というかそんなNDA要求されたらそれこそ公開する名目が出来るかと。
        「修正する気がないNDAを要求してきたので危険周知のため即時公開します」とかね。

        > 後退することに異議ありませんって意見表明
        この場合は前進しないで停滞するか、後退覚悟で強行するかの選択じゃないかね。

  • by Anonymous Coward on 2018年11月10日 5時31分 (#3513232)

    大々的に騒ぐのは広く知らしめたり真剣に懸念させる点では有効。
    何せ騒がれないと安易に考える(IT)素人が管理職をしている職場があるのが不可避な世の中ですから。

    ここに返信
    • by Anonymous Coward

      そういう輩がいちいちムダに騒ぎすぎるとウンザリされる [security.srad.jp]んだよな
      「オオカミが来たぞ~~~~wwww」って

    • by Anonymous Coward

      今回の発見者の言うことはよくわからん。
      HeartbleedもMeltdownとは深刻度がまるで違う。

  • by Anonymous Coward on 2018年11月10日 16時49分 (#3513424)

    大正義Google先生をディスるのはやめろ。

    ここに返信
typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...