这次爆破的发现人之前找到一个 VirtualBox 的 security bug (参考“SSD Advisory – VirtualBox VRDP Guest-to-Host Escape”),回报后先是回应他们在处理中,然后被发现 VirtualBox 在 5.2.18 修掉了,但是完全没有提到安全性问题的事情。所以这次作者也懒得啰唆了,找到就 full disclosure 出来。
作者给的 workaround 有两个,优先建议暂时先用 PCnet 系列的界面,如果不行的话,至少不要用 NAT。
作者发表后没多久马上就有 5.2.22 推出,不过看 changelog 应该是没有修正这个问题?(或是修掉又没提...)
发现者说5.2.22修正了,看来是有修掉change log没讲呢。