Уязвимость CVE-2023-22018 позволяет выполнить произвольный код в Oracle VirtualBox, устранено в версиях 7.0.10 и 6.1.46
Профильный ресурс Zero Day Initiative сообщил об уязвимости CVE-2023–22018, которая позволяет удалённо выполнить произвольный код на виртуальных машинах на базе Oracle VirtualBox через сеанс на базе протокола RDP.
В некоторых конфигурациях уязвимость может быть использована неаутентифицированным в системе пользователем, имеющим сетевой доступ к сервису RDP.
Согласно описанию CVE-2023–22018, критическая проблема возникла из-за ошибки при обработке запросов на проброс доступа к USB-устройствам, которая из-за отсутствия проверки размера передаваемых пользовательских данных может привести к записи в область за границей выделенного буфера памяти.
Разработчики из Oracle устранили уязвимость в последних версиях VirtualBox 7.0.10 и VirtualBox 6.1.46. Профильные эксперты советуют системным администраторам обновить VirtualBox до последней версии для устранения уязвимости CVE-2023–22018.
