Xen, ipervisore Open Source incaricato di coordinare il funzionamento delle istanze virtuali sulle piattaforme supportate, si potrebbe compromettere attraverso un tipo di virtualizzazione noto come paravirtualizzazione; nel caso specifico un malintenzionato potrebbe sfruttare la falla (CVE-2015-7835) per elevare i propri privilegi di accesso fino al cuore dell’ipervisore, ottenendo in sostanza gli stessi privilegi degli ingegneri di Amazon nel caso del succitato AWS.

I responsabili del progetto Xen avrebbero inizialmente annunciato la scoperta della vulnerabilità a un numero limitato di utenti, permettendo quindi l’installazione della patch prima di far diventare pubblica la loro disclosure.

Il bug CVE-2015-7835 coinvolgerebbe le versioni 3.4 e successive di Xen esclusivamente su piattaforme x86, mentre l’architettura dell’istanza virtuale da cui lanciare l’attacco può essere sia a 32 che a 64-bit; i ricercatori di sicurezza lanciano l’allarme su una falla nascosta nel codice per 7 anni, e ora spingono per una riforma profonda dello sviluppo dell’ipervisore.

Via | CVE-2015-7835

CommentaDi' la tua

Il tuo indirizzo email non sarà mostrato pubblicamente. I campi obbligatori sono contrassegnati da *