Эксперты BI.ZONE сообщили о двух уязвимостях в Oracle VirtualBox — CVE-2025-62592 и CVE-2025-61760. В сочетании эти дефекты открывали путь к побегу из виртуальной машины на хостовую систему macOS на базе ARM. Это первая публично известная цепочка подобного класса после выхода VirtualBox 7.1.0 (2024), где появилась поддержка ARM в macOS.
Технические детали: от утечки памяти до исполнения кода
Первая уязвимость, CVE-2025-62592 (оценка CVSS 6.0), обнаружена в виртуальном графическом адаптере QemuRamFB, в обработчике чтения MMIO qemuFwCfgMmioRead. Ошибка типа integer underflow приводит к чтению за пределами массива и утечке произвольных участков памяти. На практике это позволяет злоумышленнику получить чувствительные сведения, включая рандомизированные базовые адреса программ и библиотек, то есть обойти ASLR (Address Space Layout Randomization). Уязвимость затрагивает VirtualBox для macOS на ARM.
Вторая проблема, CVE-2025-61760 (оценка CVSS 7.5), находится в функции virtioCoreR3VirtqInfo и представляет собой переполнение буфера на стеке. В связке с данными, утекшими через CVE-2025-62592, эта ошибка позволяет добиться надежного исполнения произвольного кода. Несмотря на современные митигации — NX (No-eXecute) и stack canary — эксплуатация остаётся возможной, например, за счёт перезаписи других локальных переменных в целевой функции.
Риск для инфраструктуры и сценарии злоупотреблений
Комбинация уязвимостей открывает путь к VM escape — переходу из гостевой ОС в контекст хоста. Получив контроль на хосте macOS, атакующий потенциально может исполнять код с правами гипервизора, воздействовать на другие виртуальные машины, обращаться к аппаратным ресурсам (включая микрофон и камеру), а также читать и изменять файлы, запускать процессы и закрепляться в системе. Для сред разработки на Mac с M1/M2/M3 и лабораторных стендов это особенно критично, поскольку компрометация одного «тестового» гостя может привести к захвату всего узла.
Патч от Oracle и приоритетные действия
Сведения об уязвимостях переданы производителю, и 21 октября 2025 года Oracle выпустила Critical Patch Update, устраняющий обе проблемы. Пользователям рекомендуется незамедлительно обновить VirtualBox до версии с исправлениями из указанного CPU. По возможности стоит автоматизировать применениe обновлений и проверку соответствия версии VirtualBox корпоративным политикам безопасности.
Рекомендации по снижению рисков
— Изолируйте и ограничивайте неполностью доверенные гостевые ВМ, особенно на хостах macOS ARM.
— Запускайте VirtualBox от минимально необходимых привилегий, в отдельном пользователе, с контролем доступа к устройствам (камера, микрофон, USB).
— Применяйте сетевую сегментацию и отдельные VLAN/подсети для хостов гипервизоров и гостевых систем.
— Настройте мониторинг аномальной активности гипервизора и гостей (журналы VirtualBox, попытки эскалации привилегий, нестандартные обращения к устройствам).
— Используйте принцип Zero Trust в отношении артефактов из внешних источников (образы ВМ, ISO, драйверы, инструменты гостя).
Почему это важно: редкая, но высокоимпактная категория уязвимостей
Эксплойты с побегом из виртуальной машины встречаются сравнительно нечасто, но относятся к наивысшему классу риска, поскольку подрывают доверительную модель виртуализации. Этот инцидент подчёркивает, что даже при наличии ASLR, NX и других защитных механизмов, цепочки уязвимостей могут нивелировать изоляцию между гостем и хостом. Для команд ИБ и DevSecOps это сигнал регулярно проводить threat modeling гипервизорных узлов и пересматривать допуски к запуску непроверенных нагрузок.
Ключевой шаг сейчас — установить обновления Oracle и пересмотреть базовые практики эксплуатации VirtualBox на macOS ARM. Поддерживайте актуальность гипервизора и гостевых дополнений, минимизируйте привилегии, изолируйте критичные рабочие станции разработчиков и используйте многоуровневую защиту. Следите за новыми бюллетенями Oracle и публикациями исследователей — оперативная реакция на подобные цепочки уязвимостей напрямую снижает вероятность компрометации.
