Avis du CERT-FR

Objet: Vulnérabilité dans VirtualBox

Gestion du document

Référence	CERTA-2008-AVI-567
Titre	Vulnérabilité dans VirtualBox
Date de la première version	26 novembre 2008
Date de la dernière version	26 novembre 2008
Source(s)	Liste des changements apportés à la version 2.0.6 de VirtualBox

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Élévation de privilèges

Systèmes affectés

Sun xVM VirtualBox 1.6.x ;
VirtualBox 1.5.x ;
VirtualBox 2.0.x.

Résumé

Une vulnérabilité dans VirtualBox permet à un utilisateur local d'élever ses privilèges.

Description

Une vulnérabilité est présente dans le logiciel de virtualisation VirtualBox. Elle est relative à la fonction AcquireDaemonLock() qui peut manipuler de façon impropre certains fichiers temporaires. Ce faisant, il est possible à un utilisateur local malintentionné d'élever ses privilèges.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Liste des changements apportés à la version 2.0.6 de VirtualBox :

http://www.virtualbox.org/wiki/Changelog

Gestion détaillée du document

le 26 novembre 2008: version initiale.