Мы обнаружили цепочку уязвимостей в Oracle VirtualBox

По шкале CVSS 3.1 CVE-2025-62592 получила оценку 6,0, а CVE-2025-61760 — 7,5.

22 октября 2025 г.

Специалисты группы исследования уязвимостей BI.ZONE обнаружили две уязвимости (CVE-2025-62592 и CVE-2025-61760) в Oracle VirtualBox. В комбинации они позволяют выполнить побег из виртуальной машины VirtualBox на хостовую систему macOS на базе ARM. Это первая публично известная цепочка уязвимостей такого рода с момента выхода версии 7.1.0 VirtualBox в 2024 году, в которой появилась поддержка ARM в macOS.

Информация об уязвимостях была направлена вендору в рамках процедуры ответственного разглашения уязвимостей. Oracle выпустила 21 октября 2025 года критическое обновление безопасности (Critical patch update, CPU), которое устраняет проблему.

Первая уязвимость CVE-2025-62592 обнаружена в виртуальном графическом адаптере QemuRamFB в обработчике чтения MMIO qemuFwCfgMmioRead. Она позволяет атакующему вызвать Integer underflow (CWE-191) и читать неограниченный объем памяти за пределами массива. Таким образом можно получить доступ к конфиденциальным данным, включая рандомизированные базовые адреса программ и библиотек. Уязвимость затрагивает только VirtualBox для macOS на базе процессора ARM.

Вторая найденная уязвимость CVE-2025-61760 находится в функции virtioCoreR3VirtqInfo и представляет собой переполнение буфера на стеке. Атакующий может воспользоваться CVE-2025-61670 при помощи информации, полученной при эксплуатации CVE-2025-62592. Затем он может «сбежать» из виртуальной машины на хостовую ОС и выполнить произвольный код, захватив управление над гипервизором и другими виртуальными машинами. В результате злоумышленник может получить доступ к микрофону и камере устройства, читать и изменять любые файлы на Mac, в том числе файлы других приложений. Также он может запускать новые процессы, фактически получив почти полный контроль над хостовой ОС.

При разработке эксплойта для современных приложений атакующим чаще всего необходимо две уязвимости: для утечки ASLR и для повреждения структур в памяти процесса. Уязвимости, которые обнаружила наша команда, самодостаточны для такой цепочки. Их эксплуатация несколько затруднена защитными митигациями, такими как NX (No-eXecute) и stack canary, однако возможна при перезаписи других локальных переменных функции virtioCoreR3VirtqInfo.

Павел Блинников

Руководитель группы исследования уязвимостей

Oracle VirtualBox — гипервизор второго типа, позволяющий виртуализировать гостевые операционные системы. Для предотвращения эксплуатации этой уязвимости необходимо обновить VirtualBox до версии 7.2.4 и 7.1.14.