Zum 30. Juni 2026 haben Oracles Entwickler Virtualbox Version 7.2.12 freigegeben. Diese Version der Virtualisierungssoftware ist ein Wartungsupdate zur Fehlerkorrektur. Zudem liegt mir ein Hinweis auf eine Schwachstelle in VirutualBox 7.1.6 vor, die einen Ausbruch aus der VM über den VGA-Treiber dokumentiert.
Gemäß Changelog soll das Update der Version 7.2.12 folgende Fehler in früheren Virtualbox-Ausgaben beheben.
- Windows Guest: Added DX11 performance improvements and fixes
- Linux Host: Fixed kernel panic (github:gh-711, github:gh-712)
- Linux Host and Guest: Fixed various NASM build issues (github:gh-520)
In diesem Artikel heißt es, dass eine Kernel Panik bei Linux-Gästen behoben werde. Die neue Version der Virtualisierungssoftware lässt sich für Windows, Mac OSX und Linux von dieser Download-Seite herunterladen. Zu beachten ist, dass auch eine aktualisierte Version des VirtualBox Oracle VM VirtualBox Extension Pack herunterzuladen und zu installieren ist. VirtualBox kann frei verwendet werden, für das Extension Pack gibt es jedoch spezielle Lizenzbedingungen.
VM Guest-Escape via VGA in VirtualBox 7.1.6
Zum 30. Juni 2026 ist mir nachfolgender Tweet untergekommen, der Informationen zu einer Schwachstelle aufgreift. Gast-Betriebssysteme können über den VGA-Treiber aus der virtuellen Maschine ausbrechen.
Das Ganze ist auf GitHub im Post Oracle VM VirtualBox – VM escape via VGA device dokumentiert. Es betrifft die VirtualBox-Version 7.1.6. In der Funktion "vmsvga3dSurfaceMipBufferSize" von VirtualBox besteht eine Sicherheitslücke durch einen Integer-Überlauf. Diese Sicherheitslücke ermöglicht es einem Angreifer, einen maloc"-Aufruf so zu manipulieren, dass 0 Byte zugewiesen werden, während VirtualBox die Größe des Puffers als einen Wert größer als 0 erfasst.
Ein Angreifer kann diesen Zustand ausnutzen und lineare Lese-/Schreiboperationen erzielen, die sich anschließend zu beliebigem Lese-/Schreibzugriff auf den Speicher des Hosts ausweiten lassen. Wir stellen einen Proof-of-Concept zur Verfügung, der zeigt, wie diese Sicherheitslücke ausgenutzt werden kann, um vollständig aus einer virtuellen Maschine zu entkommen.




MVP: 2013 – 2016




