Vulnerabilità in Oracle VirtualBox: rischio di fuga da macchina virtuale

Gli specialisti di BI.ZONE hanno identificato due vulnerabilità (CVE-2025-62592 e CVE-2025-61760) in Oracle VirtualBox. Combinate assieme consentivano a un aggressore di uscire da una macchina virtuale e raggiungere il sistema host macOS basato su ARM.

Si sottolinea che questa è la prima catena di vulnerabilità di questo tipo di cui si abbia notizia pubblica dal rilascio della versione 7.1.0 di VirtualBox nel 2024, che ha introdotto il supporto ARM in macOS.

La vulnerabilità CVE-2025-62592 (punteggio CVSS 6.0) è stata scoperta nella scheda grafica virtuale QemuRamFB nel gestore di lettura MMIO qemuFwCfgMmioRead. Consente a un aggressore di leggere una quantità illimitata di memoria oltre i limiti dell’array. Di conseguenza, l’aggressore può accedere a dati sensibili, inclusi indirizzi base randomizzati di programmi e librerie. La vulnerabilità riguarda solo VirtualBox per macOS su un processore ARM.

CVE-2025-61760 (punteggio CVSS 7,5) è una vulnerabilità di buffer overflow basata sullo stack nella funzione virtioCoreR3VirtqInfo. Un aggressore può sfruttare questa vulnerabilità utilizzando le informazioni ottenute sfruttando il CVE-2025-62592. L’aggressore può quindi uscire dalla macchina virtuale ed eseguire codice arbitrario sull’host, assumendo il controllo dell’hypervisor e di altre macchine virtuali.

Di conseguenza, l’aggressore può accedere al microfono e alla fotocamera del dispositivo, leggere e modificare qualsiasi file, compresi quelli di altre applicazioni. Può anche avviare nuovi processi, ottenendo di fatto il controllo quasi completo del sistema operativo host.

“Quando si sviluppa un exploit per applicazioni moderne, gli aggressori hanno spesso bisogno di due vulnerabilità: una per far trapelare ASLR e una per corrompere le strutture di memoria dei processi. Le vulnerabilità scoperte dal nostro team sono autosufficienti per questa catena. Il loro sfruttamento è in qualche modo ostacolato da mitigazioni protettive come NX (No-eXecute) e stack canary, ma è possibile sovrascrivendo altre variabili locali della funzione virtioCoreR3VirtqInfo”, commenta Pavel Blinnikov, responsabile del team di ricerca sulle vulnerabilità.

Le informazioni sulle vulnerabilità sono state segnalate al fornitore e il 21 ottobre 2025 Oracle ha rilasciato un aggiornamento critico della patch che risolve entrambi i problemi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Massimiliano Brolli

Responsabile del RED Team di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Aree di competenza: Bug Hunting, Red Team, Cyber Threat Intelligence, Cyber Warfare e Geopolitica, Divulgazione