Casa > cibernético Notícias > CVE-2019-14378: Vulnerabilidade QEMU Permite Máquina Virtual Fuga
CYBER NEWS

CVE-2019-14378: Vulnerabilidade QEMU Permite Máquina Virtual Fuga

CVE-2019-14378 é uma nova vulnerabilidade no QEMU, um pacote de virtualização de hardware de código aberto.

O QEMU emula o processador de uma máquina através da conversão binária dinâmica e fornece um conjunto de diferentes modelos de hardware e dispositivo para a máquina, permitindo executar uma variedade de sistemas operacionais convidados.




A vulnerabilidade divulgada recentemente pode permitir que os invasores executem a chamada fuga de máquina virtual, atacando o SO host que executa o QEMU.

CVE-2019-14378 - Detalhes técnicos e impacto

De acordo com a descrição oficial, a vulnerabilidade é "um problema de estouro de buffer de pilha”, Encontrado na implementação de rede SLiRP do emulador QEMU. O problema ocorre no ip_reass() rotina remontando pacotes recebidos, caso o primeiro fragmento seja maior que o m-> m_dat[] amortecedor. Um invasor pode usar essa falha para travar o processo QEMU no host, resultando em uma condição de negação de serviço, ou potencialmente executando código arbitrário com privilégios do processo QEMU.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/cve-2019-15107-webmin/”] CVE-2019-15107: Vulnerabilidade Execução Remota de Código em Webmin

Em termos de impacto, a vulnerabilidade põe em risco os fornecedores de máquinas virtuais hospedadas na nuvem que usam QEMU para virtualização. A boa notícia é que não há indicação de que tenha sido explorado em ataques reais, como a falha foi descoberta durante uma auditoria de código pelo pesquisador Vishnu Dev. Também deve-se notar que uma exploração bem-sucedida requer ignorar ASLR e PIE.

A boa notícia é que um patch está disponível. Os detalhes da vulnerabilidade CVE-2019-14378 foram divulgados quatro semanas após o lançamento do patch.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo