Electronic Frontier Foundation The Linux Foundation Linux Kernel

0 Mitglieder und 1 Gast betrachten dieses Thema.

*

virtual-dev

  • Mitglied
  • ***
  • 327
  • Geschlecht: Männlich
Zitat
Ein Sicherheitsforscher hat eine Zero-Day-Lücke für Virtualbox veröffentlicht, die einen Ausbruch aus dem Gastsystem auf das Host-System ermöglicht. Der Forscher sei frustriert darüber, wie der Hersteller mit Bug Bountys und Security-Forschung umgehe, heißt es als Begründung.

Offenbar mit einer gehörigen Portion Frust über den Umgang von Oracle mit Bug Bountys und dem Prozess zum Melden und Offenlegen von Sicherheitslücken hat der Forscher Sergej Zeleniuk eine Sicherheitslücke samt Exploit für das Virtualisierungswerkzeug Virtualbox veröffentlicht. Der Hersteller Oracle stellt dafür noch keine Patches bereit, es handelt sich also um eine Zero-Day-Lücke. In Zeiten des sogenannten Responsible Disclosure und verschiedener Bug-Bounty-Programme großer IT-Unternehmen ist dies eine eher ungewöhnliche Vorgehensweise der Veröffentlichung. Zeleniuk begründet das Vorgehen jedoch mit seinen bisher gemachten schlechten Erfahrungen bei diesem Prozess.

Er möge Virtualbox, schreibt der Hacker aus Sankt Petersburg in seiner Ankündigung zur Zero-Day-Lücke. Ihn störe der "gegenwärtige Status von Infosec". Zeleniuk nennt die Verantwortlichen zwar nicht explizit, meint aber augenscheinlich Oracle - den Hersteller von Virtualbox. Offenbar finde man es dort in Ordnung, sich ein halbes Jahr Zeit für das Patchen von Sicherheitslücken zu nehmen, kritisiert Zeleniuk.
https://www.golem.de/news/oracle-veraergerter-forscher-veroeffentlicht-exploit-fuer-virtualbox-1811-137562.html

Linkback: https://systemdfree.de/ankundigungen-zu-distributionen-and-sicherheitshinweisen/2/verargerter-forscher-veroffentlicht-exploit-fur-virtualbox/411/