PT-2020-2646 · Oracle+2 · Virtualbox+2

Anhdaden

+2

·

Publicado

2020-03-03

·

Atualizado

2021-02-25

·

CVE-2020-2748

CVSS v3.1

3.2

Baixa

VetorAV:L/AC:L/PR:H/UI:N/S:C/C:L/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Oracle VM VirtualBox anteriores à 5.2.40
Versões do Oracle VM VirtualBox anteriores à 6.0.20
Versões do Oracle VM VirtualBox anteriores à 6.1.6
Descrição
O problema está relacionado ao produto Oracle VM VirtualBox, especificamente ao componente Core. Ele permite que um invasor com privilégios elevados, que tenha acesso à infraestrutura onde o Oracle VM VirtualBox é executado, comprometa o Oracle VM VirtualBox, resultando potencialmente em acesso de leitura não autorizado a um subconjunto de dados acessíveis do Oracle VM VirtualBox. A vulnerabilidade pode afetar significativamente outros produtos. A função vmsvgaR3FifoUpdateCursor da máquina virtual está associada a uma falta de proteção dos dados de serviço, o que pode ser explorado para obter acesso não autorizado a informações protegidas.
Recomendações
Para versões anteriores à 5.2.40, atualize para a versão 5.2.40 ou posterior.
Para versões anteriores à 6.0.20, atualize para a versão 6.0.20 ou posterior.
Para versões anteriores à 6.1.6, atualize para a versão 6.1.6 ou posterior.
Como solução temporária, considere restringir o acesso à função vmsvgaR3FifoUpdateCursor até que um patch esteja disponível.

Correção

Out of bounds Read

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125CWE-200

Identificadores relacionados

ALT-PU-2020-1773
ALT-PU-2020-1774
ALT-PU-2020-1775
ALT-PU-2020-1776
ALT-PU-2020-1777
ALT-PU-2020-1843
ALT-PU-2020-1844
ALT-PU-2020-1845
ALT-PU-2020-1846
ALT-PU-2020-1847
BDU:2020-02685
CVE-2020-2748
MGASA-2020-0180
OPENSUSE-SU-2020:0925-1
OPENSUSE-SU-2020_0925-1
ZDI-20-506

Produtos afetados

Alt Linux
Virtualbox
Suse