Oracle выпустила внеочередное обновление безопасности для продукта Oracle VM VirtualBox, устранившее десять уязвимостей. Проблемы затронули версию 7.2.8 гипервизора и охватили несколько компонентов, включая механизм общих папок (Shared Folders), графическое устройство VMSVGA и базовое ядро (Core) продукта. По шкале CVSS (Common Vulnerability Scoring System - стандартная система оценки критичности уязвимостей) максимальная оценка составила 7,5 балла из 10 - уровень "высокий". Это означает, что при определённых условиях атака могла бы привести к полному перехвату управления средой виртуализации или к необратимому нарушению целостности данных.
Детали уязвимостей
Наибольшую опасность представляют две уязвимости, получившие идентификаторы CVE-2026-46873 и CVE-2026-46974. Обе затрагивают компонент VMSVGA (в первом случае) и Core (во втором) и оцениваются в 7,5 балла. Их эксплуатация требует высоких привилегий на хосте, а также локального доступа к инфраструктуре, где развёрнут VirtualBox. Однако сама атака считается сложной (требует специальных условий), и если она удаётся, злоумышленник получает возможность полностью взять под контроль гипервизор. При этом в бюллетене Oracle особо отмечено, что уязвимости имеют эффект scope change - успешная атака на VirtualBox может затронуть и другие продукты, работающие на той же платформе.
Ещё одна критическая проблема (CVSS 7,5) обнаружена в механизме Shared Folders (общие папки) и зарегистрирована как CVE-2026-35275. В отличие от предыдущих, для её эксплуатации атакующему достаточно низких привилегий, но атака остаётся сложной. Успешное применение позволяет несанкционированно создавать, удалять или изменять любые данные, доступные экземпляру VirtualBox, а также получать к ним полный доступ. Эта уязвимость представляет угрозу как для целостности, так и для конфиденциальности информации.
Среди уязвимостей среднего уровня опасности стоит выделить CVE-2026-46768 (CVSS 6,0) в компоненте VMSVGA. Она эксплуатируется легко, требует высоких привилегий и может привести к полному отказу в обслуживании: виртуальная машина зависает или постоянно аварийно завершает работу. Аналогичная оценка 6,0 присвоена CVE-2026-46825 (VMSVGA) - она позволяет несанкционированно изменять критические данные, а CVE-2026-46877 (тоже VMSVGA) даёт возможность несанкционированного чтения всех данных VirtualBox.
Остальные четыре уязвимости (CVE-2026-46815, CVE-2026-46816, CVE-2026-46874 и CVE-2026-46977) имеют низкий уровень опасности - 3,2 балла. Все они позволяют атакующему с высокими привилегиями получить доступ на чтение к ограниченному подмножеству данных гипервизора. Хотя прямое влияние таких уязвимостей невелико, в комбинации с другими техниками их можно использовать для разведки перед более серьёзной атакой.
Общим для всех десяти проблем является требование локального доступа к системе, на которой работает VirtualBox. Это означает, что удалённый злоумышленник не сможет напрямую атаковать уязвимости без предварительного проникновения на хост или без наличия учётной записи на нём. Однако в корпоративных средах, где VirtualBox часто используется разработчиками и тестировщиками на общих серверах, такой сценарий вполне реален. Кроме того, scope change (изменение области воздействия) повышает риски: атака на гипервизор может нарушить работу других виртуальных машин или сервисов, расположенных на том же физическом сервере.
Oracle рекомендует всем пользователям Oracle VM VirtualBox версии 7.2.8 незамедлительно установить обновления, выпущенные в рамках Critical Patch Update за июнь 2026 года. Временные меры защиты, включающие отключение Shared Folders или VMSVGA, могут снизить поверхность атаки, но полноценное исправление возможно только через обновление продукта.
Релиз этого набора исправлений продолжает тенденцию регулярного выявления серьёзных уязвимостей в программных гипервизорах. Ранее в 2026 году аналогичные проблемы закрывались в продуктах VMware и Microsoft Hyper-V. С учётом того, что VirtualBox широко применяется в тестовых и образовательных средах, а также в небольших коммерческих проектах, своевременное обновление остаётся единственным надёжным способом защиты от потенциального перехвата управления виртуальной средой.
Ссылки
- https://www.oracle.com/security-alerts/cspujun2026.html
- https://www.cve.org/CVERecord?id=CVE-2026-35275
- https://www.cve.org/CVERecord?id=CVE-2026-46768
- https://www.cve.org/CVERecord?id=CVE-2026-46815
- https://www.cve.org/CVERecord?id=CVE-2026-46816
- https://www.cve.org/CVERecord?id=CVE-2026-46825
- https://www.cve.org/CVERecord?id=CVE-2026-46873
- https://www.cve.org/CVERecord?id=CVE-2026-46874
- https://www.cve.org/CVERecord?id=CVE-2026-46877
- https://www.cve.org/CVERecord?id=CVE-2026-46974
- https://www.cve.org/CVERecord?id=CVE-2026-46977
