记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

VirtualBox虚拟机最新逃逸漏洞E1000 0 day详细分析(上)

近日,俄罗斯安全研究人员Sergey Zelenyuk发布了有关VirtualBox 5.2.20及早期版本的0 day漏洞的详细信息,这些版本可以让攻击者逃离虚拟机并在主机上执行RING 3层的代码。然后,攻击者可以利用传统的攻击技术将权限提升至RING 0层。下面是Sergey Zelenyuk在他的Github中披露的关于该漏洞的全部细节:为什么要披露漏洞详情我喜欢VirtualBox,它与我为什么发布0 day漏洞无关。原因是我对当代信息安全状态有不同的意见,尤其是安全研究的漏洞奖励:1.从提交漏洞开始等待半年,直到修补了漏洞为止。2.在bug赏金描述中:· 等待最多一个月,直到验证了提交的漏洞,然后才决定购买
发布时间:2018-11-15 12:20 | 阅读:79546 | 评论:0 | 标签:漏洞 VirtualBox

甲骨文 VirtualBox高危堆溢出漏洞(CVE-2017-3332)剖析

1月17日,甲骨文公司发布新一期安全补丁修复公告,修复旗下产品安全漏洞,本次补丁更新中,修复了虚拟化产品Oracle  VirtualBox软件的一个高危险漏洞(CVE-2017-3332),并向漏洞发现者360公司 Gear Team团队工程师公开致谢。 公告介绍,Oracle的产品VirtualBox在SVGA显卡模拟中存在堆溢出漏洞,该漏洞能造成拒绝服务和宿主机任意代码执行。在公告中,Oracle对该漏洞危险评分为8.4分,属于风险性较高的漏洞。 桌面虚拟化已经越来越成为IT专业人士的重要助手,他们经常在本地机器运行不同操作系统,比如在Mac电脑上运行专为Windows设计的软件。 对于IT专业人士而言,VMware Workstation和Oracle VirtualBox是创建和运行虚拟机的两个主要
发布时间:2017-01-20 17:40 | 阅读:120131 | 评论:0 | 标签:术有专攻 VirtualBox 甲骨文 溢出 漏洞

我们不知道我们不知道:用同化项目做网络安全

Assimilation Project(AP,同化项目),是指在无需明显增长集中化资源的情况下,发现和监视未知规模网络上的基础设施、服务及相关设备的解决方案。有关IBM AS/400中小型多用户商业计算机系统超高可靠性的段子还挺多的。其中流传最广的一个版本是:某天,一位IBM维护工程师到客户那里维护一台AS/400服务器,倒霉的接待员工根本不知道那名维护工程师在说啥。最终,该系统在一个隔离空间中被找到了,它已经在那里默默扛起业务数年,完全被人遗忘,无人打理。从可靠性视角看,这简直太棒不过。从安全角度看,根本就是噩梦。它代表的是美国前防长拉姆斯菲尔德臭名昭著的“未知的未知”论调——有些事,我们不知道我们不知道,比如在缺乏证据表明,伊拉克政府向恐怖组织提供大规模杀伤性武器的情况下,英美还是攻打了伊拉克。阿兰·罗伯
发布时间:2016-06-30 00:30 | 阅读:89555 | 评论:0 | 标签:术有专攻 DISA/NIST STIG VirtualBox 同化项目 拉姆斯菲尔德 未知的未知

在Mac上安裝Windows7 – VirtualBox篇

導言VirtualBox、VMware Fusion 跟 Parallels Desktop for Mac 是在 Mac上最知名的虛擬機軟體。其中昇陽公司出的 VirtualBox 更是這三大軟體裡,唯一一個免費的。可別因為它是免費的就小看它耶,一些該有的設定,像是檔案夾分享、無縫模式、滑鼠整合等等,它都沒少。尤其日前昇陽公 司被全球第二大軟體公司甲骨文所併購,若是該公司願意繼續對此軟體提供開發,那將來功能超越另外兩個虛擬機軟體也不無可能(只是希望那時別變得要收費就好 了)。首先介紹本篇教學的使用環境:·Mac OS X 10.5.7·MacBook, 2 GHz Intel Core Duo·VirtualBox 2.2.2·Windows 7 Release Candidate 7100_x86本篇教學目
发布时间:2013-10-05 16:35 | 阅读:100552 | 评论:0 | 标签:虚拟机 virtualbox

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云