22/10/25
Специалисты группы исследования уязвимостей BI.ZONE обнаружили две уязвимости (CVE-2025-62592 и CVE-2025-61760) в Oracle VirtualBox. В комбинации они позволяют выполнить побег из виртуальной машины VirtualBox на хостовую систему macOS на базе ARM. Это первая публично известная цепочка уязвимостей такого рода с момента выхода версии 7.1.0 VirtualBox в 2024 году, в которой появилась поддержка ARM в macOS.
Информация об уязвимостях была направлена вендору в рамках процедуры ответственного разглашения уязвимостей. Oracle выпустила 21 октября 2025 года критическое обновление безопасности (Critical Patch Update, CPU), которое устраняет проблему.
Первая уязвимость CVE-2025-62592 обнаружена в виртуальном графическом адаптере QemuRamFB в обработчике чтения MMIO qemuFwCfgMmioRead. Она позволяет атакующему вызвать Integer Underflow (CWE-191) и читать неограниченный объем памяти за пределами массива. Таким образом можно получить доступ к конфиденциальным данным, включая рандомизированные базовые адреса программ и библиотек. Уязвимость затрагивает только VirtualBox для macOS на базе процессора ARM.
Вторая найденная уязвимость CVE-2025-61760 находится в функции virtioCoreR3VirtqInfo и представляет собой переполнение буфера на стеке. Атакующий может воспользоваться CVE-2025-61670 при помощи информации, полученной при эксплуатации CVE-2025-62592. Затем он может «сбежать» из виртуальной машины на хостовую ОС и выполнить произвольный код, захватив управление над гипервизором и другими виртуальными машинами. В результате злоумышленник может получить доступ к микрофону и камере устройства, читать и изменять любые файлы на Mac, в том числе файлы других приложений. Также он может запускать новые процессы, фактически получив почти полный контроль над хостовой ОС.
Павел Блинников, руководитель группы исследования уязвимостей, BI.ZONE:
«При разработке эксплойта для современных приложений атакующим чаще всего необходимо две уязвимости: для утечки ASLR и для повреждения структур в памяти процесса. Уязвимости, которые обнаружила наша команда, самодостаточны для такой цепочки. Их эксплуатация несколько затруднена защитными митигациями, такими как NX (No-eXecute) и stack canary, однако возможна при перезаписи других локальных переменных функции virtioCoreR3VirtqInfo».
Oracle VirtualBox — гипервизор второго типа, позволяющий виртуализировать гостевые операционные системы. Для предотвращения эксплуатации этой уязвимости необходимо обновить VirtualBox до версий 7.2.4 и 7.1.14.
