Yuhao Jiang

**Name of the Vulnerable Software and Affected Versions** Oracle VM VirtualBox versions 7.1.14 and 7.2.4 **Description** An easily exploitable issue exists in the Oracle VM VirtualBox product of Oracle Virtualization (component: Core). A high-privileged attacker with access to the system where Oracle VM VirtualBox runs can compromise the software. Successful exploitation may lead to unauthorized read access to some Oracle VM VirtualBox data and a partial denial of service. Attacks may impact additional products. **Recommendations** Update Oracle VM VirtualBox to a version later than 7.1.14. Update Oracle VM VirtualBox to a version later than 7.2.4.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Oracle VM VirtualBox anteriores a 7.0.24 Versões do Oracle VM VirtualBox anteriores a 7.1.6 **Descrição** A falha permite que um atacante com privilégios elevados e com login na infraestrutura onde o Oracle VM VirtualBox é executado comprometa o Oracle VM VirtualBox. Ataques bem-sucedidos podem resultar em acesso não autorizado para criação, exclusão ou modificação de dados críticos ou de todos os dados acessíveis pelo Oracle VM VirtualBox, bem como acesso de leitura não autorizado a um subconjunto dos dados acessíveis pelo Oracle VM VirtualBox e capacidade não autorizada de causar uma negação parcial de serviço do Oracle VM VirtualBox. A vulnerabilidade está relacionada ao componente Core do Oracle VM VirtualBox e pode impactar significativamente produtos adicionais. **Recomendações** Para versões do Oracle VM VirtualBox anteriores a 7.0.24, atualize para a versão 7.0.24 ou posterior. Para versões do Oracle VM VirtualBox anteriores a 7.1.6, atualize para a versão 7.1.6 ou posterior. Como medida de contorno temporária, considere restringir o acesso ao componente Core do Oracle VM VirtualBox para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** VMware ESXi, Workstation e Fusion (versões afetadas não especificadas) **Descrição** Uma vulnerabilidade de gravação fora dos limites da pilha (heap out-of-bounds) no controlador USB 2.0 (EHCI) permite que um agente mal-intencionado com privilégios administrativos locais em uma máquina virtual execute código como o processo VMX da máquina virtual em execução no host. No ESXi, a exploração fica restrita à sandbox do VMX, enquanto no Workstation e no Fusion, isso pode levar à execução de código na máquina onde o Workstation ou o Fusion está instalado. A vulnerabilidade foi demonstrada no concurso de hacking GeekPwn 2022 e tem sido usada para escapar da máquina virtual. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.