2023-0114: Oracle VM VirtualBox: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2023-01-18 11:34)

Neues Advisory

Version 2 (2023-01-30 07:57)

Für openSUSE Leap 15.4 steht ein Sicherheitsupdate für 'virtualbox' auf das VirtualBox Release 7.0.6 bereit, um die sechs Schwachstellen zu beheben.

Betroffene Software

Virtualisierung

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um die Software zu übernehmen. Mehrere weitere Schwachstellen kann ein Angreifer lokal ausnutzen, um Informationen auszuspähen und verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung zweier Schwachstelle kann Einfluss auf andere Komponenten haben.

Oracle veröffentlicht im Zuge des Patchtages im Januar 2023 die Oracle VM VirtualBox Versionen 6.1.42 und 7.0.6 als Sicherheitsupdates zur Behebung der Schwachstellen.

Die Schwachstelle CVE-2023-21885 betrifft ausschließlich Windows-Systeme und mit den vorhandenen Sicherheitsupdates wird zusätzlich die Schwachstelle CVE-2022-37434 adressiert, die in dem hier aufgeführten Produkt allerdings nicht ausnutzbar ist.

Schwachstellen:

CVE-2023-21884

Schwachstelle in Oracle Virtualization ermöglicht Denial-of-Service-Angriff

CVE-2023-21885 CVE-2023-21889

Schwachstellen in Oracle VM VirtualBox ermöglichen Ausspähen von Informationen

CVE-2023-21886

Schwachstelle in Oracle Virtualization ermöglicht Übernahme der Software

CVE-2023-21898 CVE-2023-21899

Schwachstellen in Oracle Virtualization ermöglichen Denial-of-Service-Angriffe

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.