不滿業者態度，俄羅斯研究人員直接揭露VirtualBox零時差漏洞

一名俄羅斯的安全研究人員Sergey Zelenyuk本周透過GitHub披露了他所發現的VirtualBox零時差漏洞，而且還詳細地一步步解說開採該漏洞的步驟，成功開採該漏洞將允許駭客繞過客座作業系統（Guest OS），直接於主要作業系統（Host OS）上執行程式。Zelenyuk指出，不遵循所謂的責任揭露政策完全是因不滿業者對待資訊安全的態度及作法。

VirtualBox為甲骨文在2008年買下昇陽（Sun Microsystems）時所獲得的開源虛擬機器，它能夠安裝在Windows、macOS、Linux或Solaris等各種作業系統上，並支援Windows、Linux、BSD、Solaris或其它客座作業系統的建立與管理，同時它也是安全社群最愛的VM應用之一，利用它來分析惡意程式或執行反向工程。

Zelenyuk所發現的漏洞將允許惡意程式繞過VirtualBox的客座作業系統，直接於底層的主要作業系統上執行，雖然一開始只能在有限的kernel ring 3內執行，但仍能利用其它漏洞將權限擴張至ring 0。

此外，Zelenyuk也宣稱自己所公布的攻擊程式百分之百可靠，適用於所有版本的VirtualBox，也不受VirtualBox所安裝的主/客作業系統的影響。

對於選擇直接對外揭露，而非提交給甲骨文，Zelenyuk聲稱是因他不滿意目前的資訊安全狀態，特別是在安全研究及抓漏專案上，例如大家認為半年才能修好一個漏洞是沒關係的，或是在提交漏洞一個月之後才告訴你該漏洞值不值錢，或是對於漏洞的接受與否朝令夕改，也缺乏精確的軟體漏洞及賞金列表，他說他對這兩件事已經感到疲倦了，因此決定全面公布漏洞細節，並希望各界對資安的態度能夠往上提升。

根據ZDNet與BleepingComputer的報導，Zelenyuk在去年中曾經提報一個VirtualBox漏洞予甲骨文，但甲骨文花了15個月才悄悄地修補它，且未將此一漏洞的發現歸功給Zelenyuk，可能是導致Zelenyuk心生不滿的原因。