Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
novice
Objavljeno: 7.11.2018 14:00

VirtualBox z varnostno luknjo, ki omogoča »pobeg« iz virtualnega okolja

Ruski varnostni raziskovalec Sergey Zelenyuk je na GitHubu objavil podroben opis še neodkrite varnostne luknje (t.i. »0-day«), ki omogoča, da program v navideznem okolju VirtualBox upravlja z okoljem v operacijskem sistemu, ki ga gosti.

Kot je vidno v video posnetku (Ubuntu, ki teče v spodaj ležečem Ubuntu), lahko ustrezno napisana programska koda v VirtualBoxu odpre ukazno vrstico v gostujočem sistemu. Res pa je, da odprto okno ne teče v priviligiranem načinu (ring 0), ampak ima običajne pravice (ring 0). Vendar Zelenyuk opozarja, da je na voljo kar nekaj drugih trikov, s katerimi je mogoče pravice takega okna naknadno dvigniti.

299325088

Odkrita luknja ni problematična za podatkovne centre, saj VirtualBox teče na drugih operacijskih sistemih in neposredno na strojni opremi, kot je to v podatkovnih centrih. Je pa VirtualBox najbolj priljubljeno orodje za preiskovanje in razhroščevanje virusov in druge malopridne programske opreme. Objavljena koda bo morda kakega razvijalca le te vzpodbudil, da bo na tak način poskušal okužiti tudi računalnike in računalniška omrežja varnostnih raziskovalcev v protivirusnih/varnostnih podjetjih?

Zelenyuk je podobno luknjo odkril že lani, Oracle (lastnik in razvijalec VirtualBoxa) pa je za popravek potreboval kar 15 mesecev. Zato se je tokrat raje odločil za javno objavo, saj pravi, da se takega podcenjujočega odnosa podjetij (do raziskovalcev in do uporabnikov) ne gre več.

 

ZDNet

Več novic

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Najbolj brano

  • Velika Britanija svari pred polnjenjem telefonov v kitajskih električnih vozilih

    Velika Britanija svari pred polnjenjem telefonov v kitajskih električnih vozilih

    V zadnjem času so se pojavile resne skrbi glede varnosti podatkov pri uporabi kitajskih električnih vozil (EV), zlasti med zaposlenimi v obrambni industriji. Britanska obrambna podjetja, vključno z globalnimi velikani, kot sta Lockheed Martin in Thales, so svojim zaposlenim svetovala, naj se izogibajo povezovanju mobilnih telefonov s kitajskimi EV-ji, bodisi prek Bluetootha bodisi prek polnilnih kablov. Razlog za to so strahovi pred morebitnim vohunjenjem in krajo občutljivih podatkov.

    novice
    Objavljeno: 3.5.2025 07:00 | Teme: varnost, električna vozila, pametni telefon
  • Android bo telefone spremenil v računalnike

    Android bo telefone spremenil v računalnike

    Google v prihajajoči različici operacijskega sistema Android 16 preizkuša funkcionalnost, ki bo telefone z njim spremenila v prave mini računalnike. 

    novice
    Objavljeno: 5.5.2025 08:00 | Teme: google, android
  • Štiri leta stari androidni telefoni imajo ranljivost, ki je ne bodo popravljali

    Štiri leta stari androidni telefoni imajo ranljivost, ki je ne bodo popravljali

    Google je posvaril uporabnike pametnih telefonov Android, naj nujno posodobijo svoje naprave, saj so pravkar zakrpali resno ranljivost, ki se je že izkoriščala. Prizadete so naprave z Androidom 13 (iz leta 2022) in Androidom 14 (2023). Telefoni z Androidom 12 (2021) pa se ne posodabljajo več, zato je priporočljiva zamenjava. Uporabnikov toliko starih telefonov je več sto milijonov!

    novice
    Objavljeno: 8.5.2025 07:00
  • Android z novo podobo

    Android z novo podobo

    V hitro izbrisani objavi na svojem blogu je Google nenamerno razkril naslednjo večjo prenovo uporabniškega vmesnika Android - Material 3 Expressive

    novice
    Objavljeno: 6.5.2025 08:00 | Teme: google, android
  • Kje je Microsoft ravnal napak s Copilotom

    Kje je Microsoft ravnal napak s Copilotom

    Microsoft je močno zakorakal na trg umetne inteligence, ponudil je številne izdelke, kakovosti jim ne moremo oporekati, a manjka jim tisto glavno. V primerjavi s konkurenco Microsoftov Copilot skorajda nima uporabnikov. In to je problem.

    novice
    Objavljeno: 29.4.2025 13:00
  • Brskalnik, ki bo ubil zasebnost

    Brskalnik, ki bo ubil zasebnost

    Eden glavnih očitkov trenutnemu prvaku med brskalniki je njegova integriranost v ekosistem in brezsramno sledenje uporabnikov, o katerih si zapomni skorajda vse. Po isti poti želi tudi Perplexity, ki je napovedal svoj brskalnik, ki bo to počel še odločneje. Zbiral bo podatke o vsem, kar počno uporabniki, zato da bo lahko prodajal personalizirane oglase.

    novice
    Objavljeno: 29.4.2025 12:00
Naroči se na Monitor Spletni nakup Naroči se na tedenske novice

Arhiv

Najnovejša številka revije

Maj 2025 Prelistaj! Spletni nakup Arhiv številk
Maj 2025

Uvodnik
Televizija brez oglasov? Nič več

Mnenja
Oblaki v steklenici Pro et contra: Odprtokodno ali lastniško

Nove tehnologije
Videoposnetki po naročilu

Fokus
Procesorji - varljivo zatišje Uvodnik: Televizija brez oglasov? Nič več

Dosje
Akademsko gostovanje Dobiček pred varnostjo Pol stoletja »mikromehkih« iz Redmonda Singapur, tehnološki otok

Monitor Pro
Digitalno gradi na prilagodljivih temeljih Katedrale brez zvonov Temelji digitalne dobe

Na zvezi
Kariera v IT

Zgodovina
40. obletnica računalnika Triglav Operacijski sistem na žaru Osebni mikroračunalniki

Odprta scena
Namizna igra, ki jo je razvozlala šele umetna inteligenca Resnica o digitalni propagandi Romantična zveza s ... ChatGPT

Telefoni
Veliki proti malim

Nasveti
Ko v računalniku ni prostora Super Mario na macu

Mobilno
Mobilno umivanje zob Naš izbor na iPhonu Naš ozbor na Androidu Prve mobilne aplikacije

Kupite dostop do aktualne številke:

5,99 EUR mesečni zakup

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji

Spletno mesto uporablja piškotke z namenom zagotavljanja spletne storitve, oglasnih sistemov in funkcionalnosti, ki jih brez piškotkov ne bi mogli nuditi. Z obiskom in uporabo spletnega mesta soglašate s piškotki.


Več o piškotkih in nastavitve piškotkov