Специалисты группы исследования уязвимостей BI.ZONE выявили критическую цепочку из двух уязвимостей в Oracle VirtualBox, которая впервые позволяет осуществить полный побег из виртуальной машины на хостовую систему macOS на базе процессоров ARM. Обнаруженные уязвимости CVE-2025-62592 и CVE-2025-61760 представляют серьезную угрозу безопасности, поскольку позволяют злоумышленнику получить практически полный контроль над системой Mac.
Детали уязвимостей
Данная цепочка стала первой публично известной атакой такого рода с момента выхода VirtualBox 7.1.0 в 2024 году, где впервые появилась поддержка ARM-архитектуры для macOS. Исследователи оперативно уведомили вендора в рамках процедуры ответственного разглашения уязвимостей, и Oracle выпустила критическое обновление безопасности 21 октября 2025 года, устраняющее обе проблемы.
Первая уязвимость CVE-2025-62592 была обнаружена в виртуальном графическом адаптере QemuRamFB, конкретно в обработчике чтения MMIO qemuFwCfgMmioRead. Она представляет собой integer underflow (целочисленное переполнение вниз), что позволяет атакующему читать неограниченный объем памяти за пределами выделенного массива. Эта уязвимость категории CWE-191 дает возможность получить доступ к конфедициальным данным, включая рандомизированные базовые адреса программ и библиотек, что критически важно для обхода защиты ASLR (Address Space Layout Randomization). Важно отметить, что данная уязвимость затрагивает исключительно VirtualBox для macOS на базе процессоров ARM.
Вторая уязвимость CVE-2025-61760 была найдена в функции virtioCoreR3VirtqInfo и представляет собой классическое переполнение буфера на стеке. Именно эта уязвимость в сочетании с первой позволяет реализовать полномасштабный побег из виртуальной машины. Атакующий может использовать информацию, полученную при эксплуатации CVE-2025-62592, для точного позиционирования в памяти и последующего выполнения произвольного кода на хостовой системе.
По словам Павла Блинникова, руководителя группы исследования уязвимостей BI.ZONE, при разработке эксплойтов для современных приложений злоумышленникам обычно требуются две уязвимости: одна для обхода ASLR, другая для повреждения структур в памяти процесса. Обнаруженные уязвимости образуют самодостаточную цепочку, что делает их особенно опасными. Хотя эксплуатация несколько затруднена современными защитными механизмами, такими как NX (No-eXecute) и stack canary, она остается возможной при перезаписи других локальных переменных в функции virtioCoreR3VirtqInfo.
Последствия успешной эксплуатации этой цепочки уязвимостей крайне серьезны. Злоумышленник может не только захватить контроль над гипервизором и другими виртуальными машинами, но и получить доступ к микрофону и камере устройства, читать и изменять любые файлы на Mac, включая файлы других приложений. Фактически атакующий получает возможность запускать новые процессы и устанавливать почти полный контроль над хостовой операционной системой.
Oracle VirtualBox представляет собой гипервизор второго типа, который широко используется для виртуализации гостевых операционных систем в корпоративных и личных целях. Его популярность делает данную уязвимость особенно значимой для большого числа пользователей. Для предотвращения потенциальной эксплуатации специалисты настоятельно рекомендуют немедленно обновить VirtualBox до версий 7.2.4 или 7.1.14, в которых устранены обнаруженные проблемы.
Обнаружение этой цепочки уязвимостей подчеркивает важность регулярного обновления программного обеспечения и постоянного мониторинга безопасности, особенно в среде виртуализации, где уязвимости могут привести к компрометации не только отдельных систем, но и всей инфраструктуры.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-62592
- https://www.cve.org/CVERecord?id=CVE-2025-61760
- https://www.oracle.com/security-alerts/cpuoct2025.html
