Mise à jour de sécurité pour VirtualBox
VirtualBox est un logiciel de virtualisation disponible pour Windows, Linux et Mac OS. Il intègre de nombreuses fonctionnalités dont l'accélération 3D pour les OS invités par l'intermédiaire des Additions invités (équivalent aux VMware Tools et Services d'intégration d'Hyper-V).
Cette fonctionnalité autorise la machine virtuelle d'utiliser la puce graphique (GPU) de la machine hôte afin d'optimiser le rendu des graphiques 3D basés sur OpenGL et les API Direct3D.
C'est d'ailleurs cette fonctionnalité qui fait l'objet de bulletins de sécurité (CVE-2014-0981 / CVE-2014-0982 / CVE-2014-0983). Plusieurs vulnérabilités de corruption de mémoire ont été trouvées dans le code implémenté pour la fonctionnalité d'Accélération 3D pour OpenGL de VirtualBox.
Ces vulnérabilités pourraient autoriser un hacker qui exécute déjà du code dans un OS invité "d'échapper" à la machine virtuelle afin d'exécuter du code arbitraire directement sur l'OS de la machine hôte (où est installée VirtualBox).
Les versions affectées sont :
- Oracle VirtualBox v4.2.20 et versions plus anciennes
- Oracle VirtualBox v4.3.6 et versions plus anciennes
Il est précisé que d'autres versions peuvent être affectées. Toutes les versions n'ont pas été testées.
La version de VirtualBox 4.3.8 ne contient plus cette vulnérabilité.
Pour plus d'informations sur l'aspect technique, consultez cet article (en) : Oracle VirtualBox 3D Acceleration Multiple Memory Corruption Vulnerabilities
