JVNDB-2014-001854

JVNDB-2014-001854
Oracle VirtualBox の VBox/GuestHost/OpenGL/util/net.c における任意のコードを実行される脆弱性
概要
Oracle VirtualBox の VBox/GuestHost/OpenGL/util/net.c には、3D アクセラレーションを使用する場合、Chromium サーバ上で任意のコードを実行される脆弱性が存在します。本問題は、CVE-2014-0982 と同一バージョンに影響を受ける同じタイプの脆弱性であるため、統合されました。 CVE-2014-0982 の詳細については、CVE-2014-0981 を参照してください。
CVSS による深刻度 (CVSS とは?)
CVSS v2 による深刻度基本値: 4.4 (警告) [NVD値] 攻撃元区分: ローカル攻撃条件の複雑さ: 中攻撃前の認証要否: 不要機密性への影響(C): 部分的完全性への影響(I): 部分的可用性への影響(A): 部分的
影響を受けるシステム

オラクル Oracle VM VirtualBox 3.2.22 未満 Oracle VM VirtualBox 4.0.24 Oracle VM VirtualBox 4.1.32 Oracle VM VirtualBox 4.2.24 Oracle VM VirtualBox 4.3.8

想定される影響
ローカルのゲスト OS ユーザにより、VBoxSharedCrOpenGL サービスに対する (1) CR_MESSAGE_READBACK または (2) CR_MESSAGE_WRITEBACK メッセージ中の巧妙に細工された Chromium ネットワークポインタを介して、任意のポインタデリファレンスおよびメモリ破損を誘発されることで、Chromium サーバ上で任意のコードを実行される可能性があります。
対策
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
ベンダ情報
オラクル Oracle Critical Patch Update : Oracle Critical Patch Update Advisory - April 2014 Oracle Critical Patch Update : Text Form of Oracle Critical Patch Update - April 2014 Risk Matrices SECURITY BLOG : April 2014 Critical Patch Update Released VirtualBox : Changeset 50437 in vbox
CWEによる脆弱性タイプ一覧 CWEとは?
リソース管理の問題(CWE-399) [NVD評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2014-0981
参考情報
National Vulnerability Database (NVD) : CVE-2014-0981 関連文書 : Oracle VirtualBox 3D Acceleration Multiple Memory Corruption Vulnerabilities
更新履歴
[2014年04月02日] 掲載 [2014年04月17日] 影響を受けるシステム：内容を更新ベンダ情報：オラクル (Oracle Critical Patch Update Advisory - April 2014) を追加ベンダ情報：オラクル (Text Form of Oracle Critical Patch Update - April 2014 Risk Matrices) を追加ベンダ情報：オラクル (April 2014 Critical Patch Update Released) を追加


公表日	2014/02/13
登録日	2014/04/02
最終更新日	2014/04/17

Oracle VirtualBox の VBox/GuestHost/OpenGL/util/net.c における任意のコードを実行される脆弱性