Компания Digital Security, специализирующаяся на анализе защищенности систем, объявляет об обнаружении уязвимостей в Oracle VirtualBox и VMware Workstation, Player и Fusion в ходе исследовательской работы, посвященной технологиям виртуализации. Проблемы безопасности в компонентах, отвечающих за виртуализацию, нашли исследователи Петр Каменский и Георгий Носенко. Обнаруженные уязвимости имеют разную степень критичности: с их помощью возможно осуществить не только атаки на отказ в обслуживании, но и даже потенциально побег из гостевой машины.
Эксперты Digital Security передали информацию о найденных «багах» вендорам – компаниям Oracle и VMware. Уязвимостям были присвоены соответствующие позиции в классификациях производителей ПО, были выпущены обновления. Исследователи получили официальные благодарности от Oracle и VMware.
Благодарности от Oracle:
CPU July 2014 http://www.oracle.com/tec
CPU January 2015 http://www.oracle.com/tec
Благодарности от VMware:
VMSA-2015-0001 http://www.vmware.com/sec
Часть найденных уязвимостей еще находится в стадии закрытия, и о них будет объявлено позднее.
Комментирует Дмитрий Евдокимов, директор исследовательского центра Digital Security: «В ходе данного исследования мы анализировали защищенность технологий, связанных с виртуализацией, а также проверяли возможность реализации атак на них. Поиск уязвимостей осуществлялся как по исходному коду (VirtualBox) так и без него (VMware). Работа была непростой и долгой, без специальных знаний здесь невозможно получить результат. Теперь у нас есть серьезный опыт анализа технологий виртуализации, и мы будем продолжать работать в данном направлении».
Напомним, что эксперты Digital Security проводят масштабное исследование защищенности технологий виртуализации уже более года. В рамках этого направления были обнаружены также уязвимости в популярных продуктах для антивирусной защиты с технологией аппаратной виртуализации: MacAfee DeepDefender, Avast DeepScreen, Kaspersky Internet Security 15. Подробное описание здесь: http://dsec.ru/news/press
