| 0 |
|
В популярном гипервизоре Xen обнаружена уязвимость, которая позволяет хакерам взламывать гостевую ОС, получая доступ ко всей её памяти.
Эта проблема представляет особую опасность для многопользовательских (multi-tenant) датацентров, в которых виртуализированные серверы различных клиентов работают на общем оборудовании.
ПО с открытым кодом, Xen, применяется провайдерами облачных вычислений и хостинга виртуальных серверов, а также используется в защищённых операционных системах, таких как Qubes OS.
Выявленный баг был случайно внесён в кодовую основу Xen в декабре 2012 г. вместе с обновлением, исправляющим другую проблему. На сегодняшний день он присутствует во всех версиях, начиная с 4.4.x.
Для того, чтобы использовать эту уязвимость требуется паравиртуализированная (PV) 64-разрядная гостевая ОС. Xen поддерживает два типа виртуальных машин, с программной (PV) и аппаратной (Hardware Virtual Machines, HVM) виртуализацией. Соответственно, пользователей HVM, например, клиентов AWS, эта проблема не касается.
Проект Xen уже подготовил соответствующий патч, он доступен со вторника и требует установки вручную. Разработчики Qubes также выпустили исправленный вариант гипервизора для Qubes 3.1 и 3.2. Они в очередной раз подтвердили намерение отказаться в будущем Qubes 4.0 от использования паравиртуализации.
Уязвимости, позволяющие нарушить изоляцию виртуальных машин представляют большую ценность для хакеров. Pwn2Own предлагает 100 тыс. долл. за такой эксплойт для VMware Workstation или Microsoft Hyper-V, а фирма Zerodium — до 50 тыс. долл.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
