Redazione RHC : 26 octubre 2025 16:33
Los especialistas de BI.ZONE han identificado dos vulnerabilidades (CVE-2025-62592 y CVE-2025-61760) en Oracle VirtualBox. Al combinarse, permitieron a un atacante salir de una máquina virtual y acceder al sistema host macOS basado en ARM.
Se observa que esta es la primera cadena de vulnerabilidad conocida públicamente de este tipo desde el lanzamiento de la versión 7.1.0 de VirtualBox en 2024, que introdujo el soporte de ARM para macOS.
Se descubrió la vulnerabilidad CVE-2025-62592 (puntuación CVSS 6.0) en la tarjeta gráfica virtual QemuRamFB, en el controlador de lectura MMIO qemuFwCfgMmioRead . Esta vulnerabilidad permite a un atacante leer una cantidad ilimitada de memoria más allá de los límites de la matriz. Esto permite al atacante acceder a datos confidenciales, incluyendo direcciones base aleatorias de programas y bibliotecas. La vulnerabilidad solo afecta a VirtualBox para macOS en procesadores ARM.
CVE-2025-61760 (puntuación CVSS 7.5) es una vulnerabilidad de desbordamiento de búfer basada en pila en la función virtioCoreR3VirtqInfo . Un atacante puede explotar esta vulnerabilidad utilizando la información obtenida mediante CVE-2025-62592. El atacante podría entonces salir de la máquina virtual y ejecutar código arbitrario en el host, tomando el control del hipervisor y otras máquinas virtuales.
Como resultado , el atacante puede acceder al micrófono y la cámara del dispositivo, leer y modificar cualquier archivo, incluidos los de otras aplicaciones . También puede iniciar nuevos procesos, obteniendo así un control casi total del sistema operativo anfitrión.
Al desarrollar un exploit para aplicaciones modernas, los atacantes suelen necesitar dos vulnerabilidades: una para filtrar ASLR y otra para corromper las estructuras de memoria del proceso. Las vulnerabilidades descubiertas por nuestro equipo se encuentran en esta cadena. Su explotación se ve parcialmente obstaculizada por mitigaciones de protección como NX (No-eXecute) y el canario de pila, pero es posible anulando otras variables locales de la función virtioCoreR3VirtqInfo —comenta Pavel Blinnikov, jefe del equipo de investigación de vulnerabilidades—.
Se informó al proveedor sobre las vulnerabilidades y el 21 de octubre de 2025, Oracle lanzó una actualización de parche crítica que aborda ambos problemas.
RedazioneEn los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...
El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...
El ecosistema ruso del cibercrimen ha entrado en una fase de profunda transformación, provocada por una combinación de factores: una presión internacional sin precedentes por parte de los organismo...
Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...
