Oracle为其虚拟化软件中出现的“毒液”漏洞发布了补丁。“毒液”漏洞可导致攻击者摆脱虚拟机攻击主机。
发现“毒液”漏洞的公司Crowdstrike威胁情报公司研究员Jason Geffner私下将漏洞信息告知多个厂商包括Oracle、QEMU以及Xen邮件清单。Crowdstrike公司在修复公告中指出,“易受攻击的虚 拟软盘控制器(FDC)代码包含在多个虚拟化平台中并且也出现在Oracle产品中。拥有访问客户端操作系统账号并且有权限访问FDC的攻击者可利用这个 漏洞。”
虽然攻击者远程攻击的条件有限,但Oracle依然认为漏洞严重性很高,并且“强烈建议”用户使用修复补丁并且尽管重启。
受影响的版本包括VirtualBox 3.2、 4.0、4.1、 4.2、 以及早于 4.3.28的4.3; Oracle VM 2.2、 3.2、 以及3.3,和 Oracle Linux 5、 6、及 7。