Подробности об уязвимостях не раскрываются, но судя по выставленному уровню опасности, они позволяют получить доступ к хост-окружению из гостевых систем. Две уязвимости проявляются только на хостах с Linux и две - только на хостах с Windows. Одна из уязвимостей допускает удалённое совершение атаки по HTTP без прохождения аутентификации, но уровень опасности для данной проблемы выставлен в 5.9 из 10 из-за сложности эксплуатации.
Основные изменения в VirtualBox 7.0.16:
- В дополнениях для хостов и гостевых систем добавлена начальная поддержка ядра Linux 6.9. В дополнениях для гостевых систем добавлена поддержка ядра 6.8 (для хостов ядро 6.8 поддерживалось ранее).
- В дополнениях для хостов и гостевых систем на базе Linux добавлена возможность запрета автоматической загрузки модуля ядра через выставление параметра mod_name.disabled=1 в командной строке ядра.
- В хост-окружениях на базе Linux решены проблемы со сборкой модулей ядра Linux при использовании компилятора GCC 13.2.
- В хост-окружениях на базе Linux решены проблемы с определением IPC-сокета VBoxSVC в стартовом скрипте VBox.sh, проявляющиеся при запуске виртуальной машины с использованием утилиты sudo.
- В дополнениях для хостов и гостевых систем на базе Linux устранены предупреждения, связанные с поддержкой UBSAN и mk_pte.
- В дополнениях гостевых систем на базе Windows отмечены улучшения, связанные с графикой.
- В хост-окружениях на базе macOS решены проблемы со снижением производительности виртуальных машин при использовании App Nap.
- Упрощён запуск вложенных гостевых систем с использованием гипервизора KVM на хостах с CPU Intel.
- Устранено аварийное завершение виртуальной машины, проявляющиеся на некоторых новых CPU AMD.
- В драйвере USB решены проблемы с контроллерами EHCI.
- Улучшена поддержка звуковых устройств.
- Обновлена документация на утилиты VBoxManage и vboximg-mount.
- В пакете Guest Control налажено задействование правильного сеанса Windows при запуске процессов в гостевых окружениях Windows.
Дополнение 1: Компания Oracle опубликовала предупреждение с просьбой не устанавливать выпуск VirtualBox 7.0.16 и дождаться версии 7.0.18 из-за выявления ошибки, приводящей к краху системы в хост-окружении при использовании виртуальных машин с настройками сетевых мостов или обеспечении работы сети только на стороне хоста (host-only networking).
Дополнение 2: Опубликован прототип эксплоита, позволяющий повысить свои привилегии при использовании VirtualBox на платформе Windows из-за ошибки позволяющей через манипуляции с символическими ссылками удалить или переместить произвольный файл. Уязвимость (CVE-2024-21111), устранена в версии VirtualBox 7.0.16.
Источник: https://www.opennet.ru/opennews/art.shtml?num=61007
(opennet.ru, мини-новости)