В коде гипервизора Xen найден уже второй серьёзный дефект

Критическая уязвимость найдена в гипервизоре с открытым кодом Xen, который используется облачными платформами компаний Amazon, Rackspace, IBM и составляет основу безопасной операционной системы Qubes OS.

Проблема, получившая обозначение XSA-182 (CVE-2016-6258), обнаружена Джереми Бутуалем (Jérémie Boutoille) из Quarkslab. Она затрагивает все версии Xen, позволяет атакующему разрушить изоляцию одной паравиртуальной машины и получить через неё доступ к другим. Эксплоит опасен только для гостевых PV на оборудовании x86 и не работает для аппаратных ВМ и гостевых ARM-машин.

Похожий баг, XSA-148, был выявлен в коде Xen в прошлом году после того как оставался незамеченным в течение семи лет.

Патчи для CVE-2016-6258 уже подготовлены и их можно загрузить с сайта Xen. Тем не менее, создатель Qubes OS, Джоанна Рутковска (Joanna Rutkowska) воспользовалась этим поводом, чтобы в очередной раз подвергнуть сомнению профессионализм команды разработчиков Xen.

«Уже второй баг в коде виртуализации Xen PV, получивший огласку за сравнительно небольшой промежуток времени, не может быть просто исправлен и забыт, — заявила она. — Он наводит на мысли, такие как 1) действительно ли Xen написан компетентными разработчиками? 2) сколько ещё проблем такого калибра ожидает нас в будущем? 3) что можем или должны мы предпринять для защиты от них?».