Sergey Zelenyuk, chercheur en sécurité russe vient de publier les détails de ses découvertes sur GitHub avec notamment un lot de failles de type zéro day logées au sein de Virtualbox, le logiciel d'Oracle permettant de configurer et de lancer des machines virtuelles. La faille principale est d'autant plus importante qu'elle permet à un individu de passer par l'OS virtuel pour atteindre l'hôte physique de la VM.

VirtualBox

Selon le chercheur, la faille permettrait à des pirates d'atteindre l'espace limité de l'OS (Kernel ring 3), mais que d'autres failles déjà connues peuvent être exploitées à leur tour pour obtenir des privilèges plus élevés au niveau du kernel (ring 0).

Toutes les versions de VirtualBox sont concernées par la faille découverte.

Le problème, c'est que Sergey Zelenyuk n'a pas contacté Oracle avant de divulguer la faille. Le chercheur n'en est pas à son coup d'essai, en 2017 il contactait déjà Oracle pour un problème comparable, la firme avait mis 15 mois à proposer un patch...

Agacé par les procédures et l'attitude aléatoire et parfois peu respectueuse des éditeurs, le chercheur a donc pris le pas de publier directement sa découverte... Qui n'est donc actuellement pas corrigée...