Četvrtak, 9 srpnja, 2026
34.5 C
London

Vulnerabilnost KVM omogućava napad na Linux poslužitelje

Vulnerabilnost u Linuxu koja omogućuje nepovjerenim virtualnim strojevima pristup root privilegijama na host strojevima jedna je od dvije visoko ozbiljne greške koje su se pojavile ovog tjedna u operativnom sustavu otvorenog koda.

Vulnerabilnost se nalazi u KVM-u, što je u suštini aplikacija za virtualne strojeve uključena u kernel mnogih Linux distribucija. Greška, označena kao CVE-2026-53359, omogućuje gostujućim virtualnim strojevima—poput onih korištenih na cloud platformama za izolaciju instance jednog korisnika od host OS-a i drugih korisničkih instanci—da pobjegnu iz tog kontejnera.

Vulnerabilnost utječe na KVM koji radi na AMD i Intel procesorima. Iskorištava greške koje se nalaze na strani gosta KVM-a, dijelu VM-a koji se sastoji samo od resursa poput operativnog sustava ili drajvera prisutnih u gostujućem VM-u, a ne od resursa prisutnih na host stroju. Ova prijetnja ostala je neprimijećena u Linux kernelu 16 godina.

„Samo akcijama na strani gosta, napadač može kompromitirati host koji pokreće njihov VM,“ napisao je Hyunwoo Kim, istraživač koji je otkrio ovu grešku. „Na primjer, napadač koji je iznajmio samo jednu instancu na javnom cloudu mogao bi izazvati paniku u kernelu hosta kako bi srušio svaki drugi tenant VM na istom fizičkom stroju (DoS), ili pokrenuti kod s root privilegijama na hostu kako bi preuzeo kontrolu nad hostom i svim gostima na njemu (RCE).“

Kim je nazvao ovu vulnerabilnost Januscape. Greška je vrsta vulnerabilnosti „use-after-free“—forma greške u korupciji memorije koja umetne zloćudni kod u nedavno oslobođene regije memorije. Vulnerabilnost se nalazi u emulaciji MMU sjene, procesu koji prevodi adrese memorije hosta u adrese memorije hipervizora i obrnuto.

Iskorištavanje će pokrenuti samo akcije na strani gosta kako bi korumpiralo sjenu stranice kernel-a hosta, strukturu podataka u hostu koja pomaže u prevođenju adresa. Kim je objavio dokaz konceptualnog iskorištavanja koje se pokreće u gostujućem VM-u kako bi izazvalo pad host OS-a. Rekao je da postoji i iskorištavanje koje potpuno izlazi iz gosta, ali neće biti objavljeno do „vrlo daleke budućnosti.“

Hot this week

Anthropic predstavlja novu značajku za korisnike Claudea

U trenutku kada odbojnici protiv AI-a i protesti protiv...

Ogromne IPO vrijednosti u tech industriji

Već smo ranije razgovarali o vrućem IPO ljetu, no...

Ollama osigurava 65 milijuna dolara financiranja

Popularni open-source AI alat Ollama prikupio je 65 milijuna...

Nandan Nilekani napušta Fundamentum Partnership

Nandan Nilekani, suosnivač indijske IT tvrtke Infosys, više neće...

NHS bolnice koriste AI test za otkrivanje raka maternice

Više NHS bolnica priprema se za korištenje AI testova...

Topics

Anthropic predstavlja novu značajku za korisnike Claudea

U trenutku kada odbojnici protiv AI-a i protesti protiv...

Ogromne IPO vrijednosti u tech industriji

Već smo ranije razgovarali o vrućem IPO ljetu, no...

Ollama osigurava 65 milijuna dolara financiranja

Popularni open-source AI alat Ollama prikupio je 65 milijuna...

Nandan Nilekani napušta Fundamentum Partnership

Nandan Nilekani, suosnivač indijske IT tvrtke Infosys, više neće...

NHS bolnice koriste AI test za otkrivanje raka maternice

Više NHS bolnica priprema se za korištenje AI testova...

Video igre kao budućnost umjetne inteligencije

Kada je riječ o postizanju umjetne opće inteligencije (AGI),...

Video igre kao alat za razvoj AI

Kada je riječ o postizanju umjetne opće inteligencije (AGI),...

Lovable traži 300 milijuna dolara vrijednost 13,2 milijarde

UkratkoObjavljeno:3:41 PM PDT · 8. srpnja 2026.Lovable, švedski startup...
spot_img

Related Articles

Popular Categories

spot_imgspot_img