Oracle ha publicado un parche para una grave vulnerabilidad de buffer overflow (CVE-2015-3456) llamada VENOM que está afectando a sus productos.

Debido a la gravedad del error en QEMU's virtual Floppy Disk Controller (FDC), se recomendó a los clientes aplicar las actualizaciones tan pronto como sea posible, dijo Oracle este viernes en una alerta de seguridad.

Jason Geffner, investigador senior de seguridad de CrowdStrike, descubrió el error el cual, al parecer, tiene décadas de existencia; la falla se enfoca en la manipulación de entornos vitualizados desatendidos.

En la alerta del viernes, Oracle dijo que también estará disponible la alerta de seguridad en un formato XML "que se ajusta a la presentación de Common Vulnerability Reporting Format (CVRF) versión 1.1."

VENOM afecta a los clientes de Oracle desde "códigos FDC vulnerables que se incluyen en varias plataformas de virtualización y son utilizados en algunos productos de Oracle", tales como VirtualBox 3.2, 4.0, 4.1, 4.2, y 4.3 (antes del 03/04/28); Oracle VM 2.2, 3.2 y 3.3, y Oracle Linux versiones 5, 6 y 7.