BI.ZONE повідомила про два дефекти в Oracle VirtualBox — CVE-2025-62592 і CVE-2025-61760, які в зв’язці відкривали шлях до побігу з віртуальної машини (VM escape) на хості macOS ARM. Це перша публічно відома подібна ланка після виходу VirtualBox 7.1.0 (2024), коли гіпервізор отримав підтримку macOS на ARM.
Технічний розбір: витік пам’яті та виконання коду попри ASLR і NX
Уразливість CVE-2025-62592 (CVSS 6.0) локалізована у віртуальному графічному адаптері QemuRamFB, в обробнику MMIO qemuFwCfgMmioRead. Помилка типу integer underflow призводить до читання за межами буфера і витоку довільних ділянок пам’яті. На практиці це дозволяє розкривати рандомізовані базові адреси (бібліотек і виконуваних модулів) і тим самим обійти ASLR. Вразливість актуальна для VirtualBox під macOS ARM.
Друга проблема — CVE-2025-61760 (CVSS 7.5) — пов’язана з переповненням буфера на стосі у функції virtioCoreR3VirtqInfo. Разом із даними, отриманими через CVE-2025-62592, цей дефект надійно знімає випадковість адрес і відкриває шлях до виконання довільного коду на хості. Попри наявність мітимацій NX (No-eXecute) і stack canary, експлуатація можлива, зокрема шляхом перезапису інших локальних змінних у цільовій функції.
Потенційний вплив на інфраструктуру macOS з чипами M1/M2/M3
Скомбінована експлуатація призводить до VM escape — переходу з гостя у контекст хоста. Отримавши контроль над macOS, зловмисник може діяти з правами, близькими до гіпервізорних: впливати на інші ВМ, взаємодіяти з апаратними ресурсами (включно з камерою та мікрофоном), читати/змінювати файли й закріплюватися в системі. Особливі ризики мають середовища розробки, лабораторні стенди та CI на Mac з M1/M2/M3, де скомпрометований “тестовий” гість може означати захоплення всього вузла.
Оновлення Oracle (Critical Patch Update) і першочергові дії
Відомості про уразливості передані виробнику, і 21 жовтня 2025 року Oracle випустила Critical Patch Update, який усуває обидві проблеми. Рекомендація однозначна: негайно оновити VirtualBox до версії з виправленнями з цього CPU, автоматизувати оновлення та контроль відповідності версій політикам безпеки.
Практичні рекомендації з мінімізації ризиків VirtualBox
– Ізолюйте недовірені гостьові ВМ на окремих хостах macOS ARM або в окремих користувачах/сеансах; обмежуйте доступ до пристроїв (USB, камера, мікрофон).
– Запускайте VirtualBox з мінімально необхідними привілеями, уникайте адміністраторських обліковок для рутинних завдань.
– Застосовуйте сегментацію мережі і виділені VLAN/підмережі для гіпервізорів та гостей; мінімізуйте мостові інтерфейси.
– Увімкніть моніторинг і аудит: журнали VirtualBox, події доступу до пристроїв, спроби ескалації привілеїв, нестандартні MMIO/PCI-операції.
– Дотримуйтесь Zero Trust щодо образів ВМ, ISO, драйверів і гостьових доповнень, отриманих із зовнішніх джерел.
Чому VM escape рідкісний, але критичний для гіпервізорів
Побіги з ВМ трапляються нечасто, але мають максимальний вплив, оскільки підривають модель ізоляції. Історично галузь знала подібні інциденти, наприклад VENOM (CVE-2015-3456) у QEMU; час від часу фіксувалися й проблеми в емуляторах мережевих адаптерів VirtualBox. Поточний кейс на macOS ARM підкреслює, що навіть за наявності ASLR, NX і stack canary ланцюжки вразливостей здатні нівелювати мітимації. Для команд ІБ і DevSecOps це привід регулярно проводити threat modeling вузлів із гіпервізорами та обмежувати запуск неперевірених навантажень.
Ключовий крок — встановити патчі Oracle, підтримувати актуальні версії гіпервізора і гостьових доповнень, мінімізувати привілеї та ізолювати критичні робочі станції. Слідкуйте за новими бюлетенями Oracle та публікаціями дослідників BI.ZONE; оперативна реакція на подібні ланцюжки уразливостей прямо знижує ймовірність компрометації.
