CVE-2019-14378 é uma nova vulnerabilidade no QEMU, um pacote de virtualização de hardware de código aberto.
O QEMU emula o processador de uma máquina através da conversão binária dinâmica e fornece um conjunto de diferentes modelos de hardware e dispositivo para a máquina, permitindo executar uma variedade de sistemas operacionais convidados.
A vulnerabilidade divulgada recentemente pode permitir que os invasores executem a chamada fuga de máquina virtual, atacando o SO host que executa o QEMU.
CVE-2019-14378 - Detalhes técnicos e impacto
De acordo com a descrição oficial, a vulnerabilidade é "um problema de estouro de buffer de pilha”, Encontrado na implementação de rede SLiRP do emulador QEMU. O problema ocorre no ip_reass() rotina remontando pacotes recebidos, caso o primeiro fragmento seja maior que o m-> m_dat[] amortecedor. Um invasor pode usar essa falha para travar o processo QEMU no host, resultando em uma condição de negação de serviço, ou potencialmente executando código arbitrário com privilégios do processo QEMU.
Em termos de impacto, a vulnerabilidade põe em risco os fornecedores de máquinas virtuais hospedadas na nuvem que usam QEMU para virtualização. A boa notícia é que não há indicação de que tenha sido explorado em ataques reais, como a falha foi descoberta durante uma auditoria de código pelo pesquisador Vishnu Dev. Também deve-se notar que uma exploração bem-sucedida requer ignorar ASLR e PIE.
A boa notícia é que um patch está disponível. Os detalhes da vulnerabilidade CVE-2019-14378 foram divulgados quatro semanas após o lançamento do patch.