El equipo de Seguridad en TIC de la Fundación Sadosky detectó la presencia de una potencial vulnerabilidad en VirtualBox v5.1.22. El hallazgo, efectuado al analizar un modelo de placa virtual de red, consistió en un error de programación que permite a un atacante, a través de datos externos, hacer que el programa sobreescriba por fuera de los límites establecidos y que el sistema operativo deje de funcionar, tanto en la máquina virtual como en la real. Además, se advirtió la posibilidad de que también permita ejecutar código de forma remota.
La vulnerabilidad fue comprobada tanto con un host de Linux (Ubuntu 16.04) como de Windows (v8.1), corriendo un sistema operativo Linux (también Ubuntu 16.04) en el guest, pero la vulnerabilidad podría explotarse con otras combinaciones distintas de sistemas operativos.
Dado que las estructuras de control pueden ser sobreescritas con datos controlados por el atacante, es prudente asumir que podría lograrse ejecución de código remoto en muchos escenarios posibles.
Según el procedimiento de reporte, en julio de 2017 se contactó a Oracle para advertir sobre la vulnerabilidad y se acordó la publicación de la misma una vez que se haya desarrollado una solución para el problema.
El problema se presenta desde la versión 3.0.0 hasta la 5.1.20; las versiones a partir de 5.1.24 ya no son vulnerables.
