2023-0898: Oracle VM VirtualBox: Mehrere Schwachstellen ermöglichen u. a. die komplette Kompromittierung der Software

Historie:

Version 1 (2023-04-19 15:06): Neues Advisory
Version 2 (2023-07-05 10:25): Für openSUSE Leap 15.4 steht ein Sicherheitsupdate für 'virtualbox' auf das VirtualBox Release 7.0.8 bereit, um die Schwachstellen zu beheben. Die Schwachstellen CVE-2022-42916 und CVE-2022-43551 werden dabei nicht referenziert.

Betroffene Software

Virtualisierung

Betroffene Plattformen

Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann zwei Schwachstellen in 'curl' aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen. Darüber hinaus kann ein Angreifer mehrere Schwachstellen lokal ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und die betroffene Software zu kompromittieren.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten haben.

Als Sicherheitsupdate steht Oracle VM VirtualBox in den Versionen 6.1.44 und 7.0.8 bereit. Von der Schwachstelle CVE-2023-21998 sind ausschließlich Windows-Systeme betroffen.

Schwachstellen:

CVE-2022-42916

Schwachstelle in curl ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2022-43551

Schwachstelle in curl ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2023-21987

Schwachstelle in Oracle VM VirtualBox ermöglicht komplette Kompromittierung der Software

CVE-2023-21988

Schwachstelle in Oracle VM VirtualBox ermöglicht Ausspähen von Informationen

CVE-2023-21989 CVE-2023-22002

Schwachstellen in Oracle VM VirtualBox ermöglichen Ausspähen von Informationen

CVE-2023-21990

Schwachstelle in Oracle VM VirtualBox ermöglicht komplette Kompromittierung der Software

CVE-2023-21991

Schwachstelle in Oracle VM VirtualBox ermöglicht Ausspähen von Informationen

CVE-2023-21998

Schwachstelle in Oracle VM VirtualBox ermöglicht u. a. Manipulation von Daten

CVE-2023-21999