Project Zero Team ของ Google พบช่องโหว่ที่ทำให้สามารถออกจาก guest VM ใน Virtualbox ออกไปยัง Host (เครื่องจริง) ได้

ช่องโหว่ดังกล่าวเกิดจาก ตอนที่ VM กำลังตรวจสอบ path ของไฟล์ VM ที่ใช้ร่วมกัน ซึ่งอ้างอิงในเครื่อง VMA จะมี​ path เป็น base/a/b/c/../../../foo ขณะนั้น VM B อีกเครื่องกำลังย้ายไฟล์จาก /a/b/c/ ไปเป็น base/c_ เมื่อทำการเปิดไฟล์ VM B จะได้เป็น /base/foo ซึ่งเป็น path ข้างนอก Share folder แทน

ทาง Oracle ได้ทราบข่าวนี้ตั้งแต่วันที่ 12 ธันวาคม 2016 และได้ออก Virtualbox version 5.1.16 และ 5.0.34 เพื่ออกมาแก้ไขช่องโหว่ดังกล่าวแล้วครับ

ระบบที่ได้รับผลกระทบ: Virtualbox version < 5.1.16 และ 5.0.34 (Linux version)
ผลกระทบ: Information Leakage (Low)
วิธีการแก้ไข: update Virtualbox ให้เป็น version 5.1.16 และ 5.0.34

Source:: Project Zero