摘要：Oracle 披露了其 Oracle VM VirtualBox 虚拟化软件中的多个严重漏洞，这些漏洞可能使攻击者能够完全控制 VirtualBox 环境。

Oracle 披露了其 Oracle VM VirtualBox 虚拟化软件中的多个严重漏洞，这些漏洞可能使攻击者能够完全控制 VirtualBox 环境。

这些缺陷在 2025 年 10 月的关键补丁更新 (CPU) 中详细说明，影响VirtualBox版本 7.1.12 和 7.2.2的核心组件，使高权限本地攻击者能够破坏机密性、完整性和可用性，造成毁灭性的后果。

专家警告称，这些漏洞可能促成全面接管的情况，因此依赖 VirtualBox 进行开发、测试和安全隔离的用户必须立即修补。

目前尚未发现主动利用的证据，但较高的 CVSS 评分凸显了紧迫性。

Oracle 的建议强调，虽然利用该漏洞需要高权限和本地访问权限，但未经授权的数据访问和拒绝服务攻击的可能性仍然是一个严重的威胁。

2025 年 10 月的 CPU 解决了 VirtualBox 核心中的 9 个特定 CVE，所有这些 CVE 都归类为无需远程身份验证的本地漏洞。

这些问题源于不当的权限处理和不安全的操作，使得拥有基础设施登录权限的攻击者能够升级控制。

最严重的漏洞包括 CVE-2025-62587 至 CVE-2025-62590 和 CVE-2025-62641，CVSS 3.1 基本评分为 8.2，表明由于攻击复杂性低且范围发生变化而导致风险较高。

严重性较低的漏洞（如 CVE-2025-61759 和 CVE-2025-62591 至 62592）得分为 6.0 至 6.5，主要涉及机密性泄露，但不会对完整性或可用性造成干扰。

所有漏洞都需要本地访问，但由于范围变化，漏洞可能会传播到 VirtualBox 之外。成功利用漏洞可能导致 VirtualBox环境被完全接管，从而暴露敏感的虚拟机数据，并使恶意软件在隔离系统中持久化。

对于在开发流程中使用 VirtualBox 或将其用作轻量级虚拟机管理程序的企业来说，这会带来数据泄露、勒索软件部署或网络横向移动的风险。

如果运行不受信任的客户操作系统，个人开发者可能会面临个人数据泄露的风险。高完整性和可用性影响（评分为“高”）可能会导致崩溃或未经授权的修改，从而扰乱工作流程。

目前暂没有公开的PoC，但这些缺陷与过去的虚拟化漏洞的相似性引发了人们对有针对性攻击的担忧。

Oracle 敦促用户立即应用2025 年 10 月的 CPU 补丁，可通过官方下载门户获取。

除了修补之外，组织还应强制执行最低权限访问、监控高权限帐户，并审核 VirtualBox 配置以避免不必要的暴露。

禁用未使用的功能并在分段网络中隔离 VirtualBox 实例可以降低风险。对于无法及时修补的用户，临时解决方法包括限制登录权限和定期验证系统完整性。

详情参考Oracle 重要补丁更新公告 - 2025 年 10 月

来源：会杀毒的单反狗