Vulnerabilità in Oracle VirtualBox: rischio di fuga da macchina virtuale

Redazione RHC : 26 Ottobre 2025 16:33

Gli specialisti di BI.ZONE hanno identificato due vulnerabilità (CVE-2025-62592 e CVE-2025-61760) in Oracle VirtualBox. Combinate assieme consentivano a un aggressore di uscire da una macchina virtuale e raggiungere il sistema host macOS basato su ARM.

Si sottolinea che questa è la prima catena di vulnerabilità di questo tipo di cui si abbia notizia pubblica dal rilascio della versione 7.1.0 di VirtualBox nel 2024, che ha introdotto il supporto ARM in macOS.

La vulnerabilità CVE-2025-62592 (punteggio CVSS 6.0) è stata scoperta nella scheda grafica virtuale QemuRamFB nel gestore di lettura MMIO qemuFwCfgMmioRead. Consente a un aggressore di leggere una quantità illimitata di memoria oltre i limiti dell’array. Di conseguenza, l’aggressore può accedere a dati sensibili, inclusi indirizzi base randomizzati di programmi e librerie. La vulnerabilità riguarda solo VirtualBox per macOS su un processore ARM.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

CVE-2025-61760 (punteggio CVSS 7,5) è una vulnerabilità di buffer overflow basata sullo stack nella funzione virtioCoreR3VirtqInfo. Un aggressore può sfruttare questa vulnerabilità utilizzando le informazioni ottenute sfruttando il CVE-2025-62592. L’aggressore può quindi uscire dalla macchina virtuale ed eseguire codice arbitrario sull’host, assumendo il controllo dell’hypervisor e di altre macchine virtuali.

Di conseguenza, l’aggressore può accedere al microfono e alla fotocamera del dispositivo, leggere e modificare qualsiasi file, compresi quelli di altre applicazioni. Può anche avviare nuovi processi, ottenendo di fatto il controllo quasi completo del sistema operativo host.

“Quando si sviluppa un exploit per applicazioni moderne, gli aggressori hanno spesso bisogno di due vulnerabilità: una per far trapelare ASLR e una per corrompere le strutture di memoria dei processi. Le vulnerabilità scoperte dal nostro team sono autosufficienti per questa catena. Il loro sfruttamento è in qualche modo ostacolato da mitigazioni protettive come NX (No-eXecute) e stack canary, ma è possibile sovrascrivendo altre variabili locali della funzione virtioCoreR3VirtqInfo”, commenta Pavel Blinnikov, responsabile del team di ricerca sulle vulnerabilità.

Le informazioni sulle vulnerabilità sono state segnalate al fornitore e il 21 ottobre 2025 Oracle ha rilasciato un aggiornamento critico della patch che risolve entrambi i problemi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli