Calvin Fong

**Nome do software vulnerável e versões afetadas: Parallels Desktop versão 16.1.3 Descrição: Esta vulnerabilidade permite que invasores locais elevem privilégios nas instalações afetadas. Para explorar essa vulnerabilidade, o invasor deve primeiro obter a capacidade de executar código com privilégios baixos no sistema convidado alvo. A falha específica está presente no componente Toolgate. A vulnerabilidade resulta da falta de validação adequada dos dados fornecidos pelo usuário, o que pode levar a uma alocação descontrolada de memória. Um invasor pode aproveitar essa vulnerabilidade para elevar privilégios e executar código arbitrário no contexto do hipervisor. Recomendações: Para o Parallels Desktop versão 16.1.3, considere desativar o componente Toolgate até que uma correção esteja disponível. Restrinja o acesso ao componente Toolgate para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Oracle VM VirtualBox anteriores à 6.1.20 **Descrição** O problema está relacionado a uma operação de leitura de buffer que pode levar ao acesso não autorizado a dados críticos ou ao acesso total a todos os dados acessíveis pelo Oracle VM VirtualBox. Ele afeta o componente Core do Oracle VM VirtualBox e pode ser explorado por um invasor com privilégios elevados que tenha acesso à infraestrutura onde o Oracle VM VirtualBox é executado. Ataques bem-sucedidos podem causar impacto significativo em outros produtos. **Recomendações** Para versões anteriores à 6.1.20, atualize para a versão 6.1.20 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente Core do Oracle VM VirtualBox para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Oracle VM VirtualBox anteriores à 5.2.40 Versões do Oracle VM VirtualBox anteriores à 6.0.20 Versões do Oracle VM VirtualBox anteriores à 6.1.6 **Descrição** O problema está relacionado ao produto Oracle VM VirtualBox, especificamente ao componente Core. Ele permite que um invasor com privilégios elevados, que tenha acesso à infraestrutura onde o Oracle VM VirtualBox é executado, comprometa o Oracle VM VirtualBox, resultando potencialmente em acesso de leitura não autorizado a um subconjunto de dados acessíveis do Oracle VM VirtualBox. A vulnerabilidade pode afetar significativamente outros produtos. A função `vmsvgaR3FifoUpdateCursor` da máquina virtual está associada a uma falta de proteção dos dados de serviço, o que pode ser explorado para obter acesso não autorizado a informações protegidas. **Recomendações** Para versões anteriores à 5.2.40, atualize para a versão 5.2.40 ou posterior. Para versões anteriores à 6.0.20, atualize para a versão 6.0.20 ou posterior. Para versões anteriores à 6.1.6, atualize para a versão 6.1.6 ou posterior. Como solução temporária, considere restringir o acesso à função `vmsvgaR3FifoUpdateCursor` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** Versões do Oracle VM VirtualBox anteriores à 5.2.40 Versões do Oracle VM VirtualBox anteriores à 6.0.20 Versões do Oracle VM VirtualBox anteriores à 6.1.6 **Descrição** O problema está relacionado à validação insuficiente de entradas no componente controlador gráfico do Oracle VM VirtualBox, especificamente no componente VBoxVGA. Isso permite que um invasor com privilégios elevados e acesso de logon à infraestrutura onde o Oracle VM VirtualBox é executado comprometa o Oracle VM VirtualBox. Ataques bem-sucedidos podem resultar na tomada de controle do Oracle VM VirtualBox. Embora a vulnerabilidade esteja no Oracle VM VirtualBox, os ataques podem impactar significativamente outros produtos. **Recomendações** Para versões anteriores à 5.2.40, atualize para a versão 5.2.40 ou posterior. Para versões anteriores à 6.0.20, atualize para a versão 6.0.20 ou posterior. Para versões anteriores à 6.1.6, atualize para a versão 6.1.6 ou posterior.