腾讯Blade Team发现云虚拟化平台QEMU-KVM逃逸漏洞 各大云厂或受影响
【TechWeb】10月10日,腾讯Blade Team团队在针对云上虚拟化安全研究中,发现了主流虚拟化平台QEMU-KVM的严重漏洞,攻击者利用该漏洞在一定条件下可通过子机使母机崩溃,导致拒绝服务,甚至完全控制母机和母机上其他商户虚拟机。
Blade Team技术负责人Cradmin介绍说,虚拟化平台QEMU-KVM的vhost内核模块存在一个缓冲区溢出漏洞,可在虚拟子机热迁移场景下触发。热迁移是云服务厂商为了解决机器故障或优化计算资源的常见操作,可能每天都会进行。攻击者可以借此机会,通过漏洞实现虚拟机逃逸攻击,操纵子机使母机内核崩溃或在物理机内核中执行恶意代码,进而完全控制母机,进而影响服务器上所有商户的业务。
云上商户本各自处在互不影响的虚拟机之中,但该漏洞一旦被黑客利用,就可以实现云端“越狱”,控制母机,进而对云平台上的众多商户产生影响。这个漏洞很可能将影响到Google、Amazon等国际公司及国内众多知名厂商。
据了解,目前Blade Team已将该漏洞上报给了linux kernel官方,也按照社区规范对漏洞细节进行了披露。同时该漏洞同时被国家信息安全漏洞共享平台(CNVD)收录,综合评级为“高危”。
截至目前,Linux内核主线已将腾讯云提交的安全补丁纳入官方版本对外发布,其他发行版厂商(RedHat/Ubuntu等)也已相继发布安全公告和修复版本。
您可能也感兴趣:
官方微博/微信
每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。
想在手机上看科技资讯和科技八卦吗?
想第一时间看独家爆料和深度报道吗?
请关注TechWeb官方微信公众帐号:
1.用手机扫左侧二维码;
2.在添加朋友里,搜索关注TechWeb。
为您推荐
盒马CEO侯毅将退休 CFO严筱磊将兼任CEO
卖完即止!特斯拉Model Y HW3.0现车优惠最高超1万元
央视315晚会曝光六大互联网消费黑幕 你中招了吗?
借4万多元、到手2万多元?央视315晚会曝光同程金融APP礼品卡套路
央视315晚会曝光婚恋平台乱象 世纪佳缘、珍爱网等被点名
央视315曝光AI伪造变脸变声诈骗
央视315曝光主板机黑灰产业链:网络水军利用主板机随意更改IP 逃避监管
去年央视315曝光的企业,现在怎么样了?
小米汽车即将开售 雷军回应“个别用户或公司享有优先购车权”
更多
- 苹果iPad Air也有望转向OLED屏 但要等2028年
- 消息称20多年的Apple ID将成历史 在今年被Apple Account取代
- XAI大模型Grok-1已正式开源 但并不是在马斯克说的上周
- 特斯拉高管看好东南亚市场潜力 电动汽车和储能电池都有发展潜力
- 宝马集团去年交付超过37万辆纯电动汽车 PHEV也交付超过19万辆
- 苹果再收购一家AI初创公司 已在年初收购DarwinAI
- TikTok被意大利开出1000万欧元罚单 涉及3家分支机构
- 半导体面板等推动 2月份韩国ICT产品出口额增至165亿美元
- 特斯拉柏林超级工厂已恢复生产Model Y 停产期间员工工资不受影响
- 特斯拉市值一夜蒸发1800亿元 今年已蒸发1.8万亿