Vulnerabilnost u Linuxu koja omogućuje nepovjerenim virtualnim strojevima pristup root privilegijama na host strojevima jedna je od dvije visoko ozbiljne greške koje su se pojavile ovog tjedna u operativnom sustavu otvorenog koda.
Vulnerabilnost se nalazi u KVM-u, što je u suštini aplikacija za virtualne strojeve uključena u kernel mnogih Linux distribucija. Greška, označena kao CVE-2026-53359, omogućuje gostujućim virtualnim strojevima—poput onih korištenih na cloud platformama za izolaciju instance jednog korisnika od host OS-a i drugih korisničkih instanci—da pobjegnu iz tog kontejnera.
Vulnerabilnost utječe na KVM koji radi na AMD i Intel procesorima. Iskorištava greške koje se nalaze na strani gosta KVM-a, dijelu VM-a koji se sastoji samo od resursa poput operativnog sustava ili drajvera prisutnih u gostujućem VM-u, a ne od resursa prisutnih na host stroju. Ova prijetnja ostala je neprimijećena u Linux kernelu 16 godina.
„Samo akcijama na strani gosta, napadač može kompromitirati host koji pokreće njihov VM,“ napisao je Hyunwoo Kim, istraživač koji je otkrio ovu grešku. „Na primjer, napadač koji je iznajmio samo jednu instancu na javnom cloudu mogao bi izazvati paniku u kernelu hosta kako bi srušio svaki drugi tenant VM na istom fizičkom stroju (DoS), ili pokrenuti kod s root privilegijama na hostu kako bi preuzeo kontrolu nad hostom i svim gostima na njemu (RCE).“
Kim je nazvao ovu vulnerabilnost Januscape. Greška je vrsta vulnerabilnosti „use-after-free“—forma greške u korupciji memorije koja umetne zloćudni kod u nedavno oslobođene regije memorije. Vulnerabilnost se nalazi u emulaciji MMU sjene, procesu koji prevodi adrese memorije hosta u adrese memorije hipervizora i obrnuto.
Iskorištavanje će pokrenuti samo akcije na strani gosta kako bi korumpiralo sjenu stranice kernel-a hosta, strukturu podataka u hostu koja pomaže u prevođenju adresa. Kim je objavio dokaz konceptualnog iskorištavanja koje se pokreće u gostujućem VM-u kako bi izazvalo pad host OS-a. Rekao je da postoji i iskorištavanje koje potpuno izlazi iz gosta, ali neće biti objavljeno do „vrlo daleke budućnosti.“



