O líder de desenvolvimento do WireGuard divulgou ontem uma vulnerabilidade no Oracle VM VirtualBox. A falha afeta todas as versões do VirtualBox e todos os sistemas Linux que estiverem com a aplicação. Mas, parece que a Oracle não pretende corrigir nem tão cedo, o problema já foi reportado.
Falha do Oracle VM VirtualBox no Linux
Jason Donenfeld, é o especialista que citamos anteriormente. Em seu twitter ele detalha o problema e ainda posta o link da discussão iniciada.
Ele, Jason, revela que é muito simples testar a falha. Conta que basta executar o Oracle VirtualBox, seja qualquer tipo de VM e, em seguida, apenas mova o mouse pressione qualquer tecla acione o caminho add_{input,disk}_randomness() de um manipulador hardirq.
Em seu notebook, o trackpoint vai via hardirq, mas o touchpad não. Assim que ele move o trackpoint, o programa abaixo imprime “XSAVE is borked!”.
Além disso, observe que isso não é apenas “corrupção” da VM convidada, mas também vazamento de conteúdo secreto da VM host para a convidada. Portanto, você pode realmente querer garantir que o VirtualBox emita uma correção para isso antes do 5.18, pois é indiscutivelmente sensível à segurança.
OpenSUSE já havia reportado a questão à Oracle
Anteriormente, o problema detectado foi um travamento esquisito. Porém, o que aparentemente seria um problema de desenvolvimento no quesito estabilidade, era na verdade uma falha de segurança. Mas, mesmo com vários patches criados e lançados, nada resolveu.
Porém, após uma análise mais profunda, os desenvolvedores do Linux Kernel perceberam que o problema iria muito além. O desenvolvedor do Linux Kernel, Thomas Gleixner comentou ontem que O VirtualBox não resolveu o problema.
Além disso, Thomas deixa claro que este problema existe há muito tempo, como já dissemos aqui. E houve e há drivers que utilizam FPU. O dev do Linux Kernel diz que foi questão de sorte a falha de segurança da Oracle VM VirtualBox não ter explodido antes.
Mas, ele também comenta que o FPU tem sido pouco utilizado hoje em dia e que o AFAICT foi removido ao longo dos anos. Desta forma, como prevenção, enquanto a Oracle dorme no ponto, ele recomenda desabilitar o uso do FPU.
Por fim, saiba que KVM não é afetado pela falha, e como dito antes, é a opção mais recomendada para virtualização no Linux sob código aberto.