Berikutan pendedahan kerentanan berisiko tinggi dalam Oracle VM VirtualBox, komuniti mesin maya sedang membincangkan implikasi keselamatan pecutan grafik 3D dalam persekitaran maya. Kerentanan ini, yang membolehkan penyerang melarikan diri dari mesin maya ke sistem hos melalui peranti VGA, telah mencetuskan perbincangan tentang sama ada ciri-ciri tertentu harus diaktifkan dalam VM yang tidak dipercayai dan alternatif yang boleh dipertimbangkan oleh pengguna.
Kerentanan VirtualBox
Kerentanan yang baru didedahkan dalam peranti grafik 3D VMSVGA VirtualBox membolehkan penyerang melarikan diri dari mesin maya dengan mengeksploitasi limpahan integer dalam fungsi vmsvga3dSurfaceMipBufferSize. Ini mewujudkan keadaan berbahaya di mana sifar bait diperuntukkan sementara sistem mengesan saiz penimbal sebagai lebih besar daripada sifar, menyebabkan akses memori di luar sempadan. Seorang penyelidik keselamatan telah menunjukkan bagaimana ini boleh dimanfaatkan untuk mencapai akses baca/tulis arbitrari kepada memori hos, akhirnya membolehkan pelarian lengkap dari mesin maya.
Kerentanan ini nampaknya telah diperbaiki dalam VirtualBox 7.1.8, walaupun sesetengah pengguna menyatakan bahawa kemas kini itu tidak ditawarkan melalui mekanisme kemas kini GUI dan CVE tidak disebut dalam log perubahan. Seorang ahli komuniti telah mengenal pasti apa yang kelihatan sebagai pembetulan dalam repositori kod sumber VirtualBox.
Butiran Kerentanan VirtualBox:
- Tahap Keterukan: Tinggi
- Komponen Terjejas: Peranti grafik 3D VMSVGA
- Jenis Kerentanan: Limpahan integer dalam fungsi vmsvga3dSurfaceMipBufferSize
- Kesan: Pelarian VM, akses baca/tulis sewenang-wenangnya kepada memori hos
- Versi Diperbaiki: 7.1.8 (berdasarkan laporan komuniti)
- Garis Masa Pendedahan: Dilaporkan 04/01/2025, Diperbaiki 04/15/2025, Didedahkan 05/15/2025
Alternatif Virtualisasi Yang Disebut:
- VirtualBox: Sumber terbuka (GPLv3), percuma untuk semua kegunaan, dilaporkan mempunyai isu kestabilan
- VMware Workstation: Baru-baru ini dijadikan percuma untuk kegunaan peribadi, umumnya dianggap lebih stabil
- Hyper-V: Percuma tetapi memerlukan Windows Pro atau lebih tinggi
- QEMU/KVM: Alternatif sumber terbuka sepenuhnya
Pendirian Oracle Mengenai Keselamatan Grafik 3D
Satu perkara yang menjadi pertikaian dalam komuniti ialah pendirian Oracle mengenai keselamatan ciri 3D VirtualBox. Menurut seorang pengomen yang mendakwa telah berbincang dengan Oracle:
Untuk rekod: Oracle tidak menganggap bahawa ciri 3D harus diaktifkan apabila VM tidak dipercayai. Ia masih diklasifikasikan sebagai eksperimental dan berkemungkinan akan kekal begitu untuk sekurang-kurangnya satu dekad lagi.
Walau bagaimanapun, yang lain menyatakan bahawa amaran ini tidak didokumentasikan dengan jelas dalam bahan rasmi VirtualBox, menyebabkan pengguna mungkin tidak sedar tentang implikasi keselamatan apabila mengaktifkan pecutan 3D untuk mesin maya mereka.
Pertimbangan Keselamatan VM Tanpa Kepala
Satu topik perbincangan penting berkisar tentang sama ada VM tanpa kepala (yang diakses hanya melalui SSH tanpa antara muka grafik) terdedah kepada jenis serangan ini. Ahli komuniti menjelaskan bahawa kerentanan ini khusus menjejaskan peranti grafik 3D VMSVGA, bukan perkakasan VGA asas yang diperlukan untuk operasi konsol but normal.
Walaupun semua PC biasanya memerlukan beberapa bentuk konsol VGA untuk but, Linux boleh but tanpa peranti VGA hadir. Beberapa pengguna menyatakan bahawa adalah mungkin untuk mengkonfigurasi mesin maya tanpa peranti grafik, menggunakan hanya konsol bersiri sebagai gantinya. Konfigurasi ini mungkin memberikan keselamatan yang lebih baik untuk penempatan pelayan tanpa kepala dengan menghapuskan permukaan serangan yang berkaitan dengan perkakasan grafik maya.
Kebimbangan Kebolehpercayaan VirtualBox
Di luar kerentanan keselamatan itu sendiri, perbincangan mendedahkan kekecewaan meluas dengan kebolehpercayaan umum VirtualBox. Berbilang pengguna melaporkan kerosakan kerap, terutamanya dengan versi Ubuntu yang lebih baharu (22.04 dan 24.04 LTS). Ini telah menyebabkan sesetengah mempertimbangkan alternatif, walaupun setiap satu datang dengan kompromi tersendiri.
Sesetengah pengguna mengaitkan isu-isu ini dengan proses pembangunan VirtualBox, mencadangkan ia kekurangan pengujian yang ketat sebelum pelepasan. Seorang pengomen menyatakan melihat kod jenis debug-by-logging yang ditinggalkan memenuhi log VM serta kerosakan dalam apa yang kebanyakan orang anggap sebagai kombinasi hos + tetamu yang sangat biasa, menunjukkan potensi masalah kawalan kualiti.
Pilihan Virtualisasi Alternatif
Kerentanan ini telah mendorong ramai untuk mempertimbangkan semula pilihan platform virtualisasi mereka. VMware Workstation, yang baru-baru ini dijadikan percuma untuk kegunaan peribadi menurut komen komuniti, disebut sebagai alternatif yang lebih stabil. Walau bagaimanapun, sesetengah pengguna menyatakan kebimbangan tentang pemerolehan VMware oleh Broadcom dan apa yang mungkin bermakna untuk pembangunan masa depan.
Hyper-V adalah pilihan lain untuk pengguna Windows, walaupun ia terhad kepada versi Pro dan lebih tinggi sistem operasi tersebut. Bagi mereka yang mengutamakan penyelesaian sumber terbuka, QEMU/KVM mewakili alternatif utama kepada VirtualBox yang kekal percuma dari segi kos dan kebebasan.
VirtualBox mengekalkan beberapa kelebihan yang dihargai pengguna, termasuk keupayaannya untuk berjalan sebagai aplikasi mudah alih, keserasian dengan format cakera maya yang berbeza, dan dokumentasi komuniti yang luas. Lesen GPLv3 juga menjadikannya salah satu daripada beberapa pilihan sumber terbuka sebenar dalam ruang ini.
Memandangkan virtualisasi terus menjadi teknologi kritikal untuk pembangunan, pengujian, dan pengasingan keselamatan, kerentanan ini berfungsi sebagai peringatan bahawa model keselamatan mesin maya tidak sempurna. Pengguna mesti mempertimbangkan dengan teliti ciri-ciri yang mereka aktifkan, terutamanya apabila menjalankan kod yang tidak dipercayai, dan kekal berwaspada tentang mengekalkan platform virtualisasi mereka dikemas kini dengan tampalan keselamatan terkini.