Kritische Sicherheitslücke Angreifer können aus virtuellen Maschinen ausbrechen

Über eine Sicherheitslücke können Angreifer Code aus einer virtuellen Maschine auf den Hostrechner einschleusen. Betroffen sind unter anderem Xen und zahlreiche 64-Bit-Betriebssysteme, die auf Intel-CPUs laufen.

Anzeige

Über einen Fehler kann ein Angreifer in einer virtuellen Maschine Code im Ring 0 von Intel-CPUs ausführen und ihn damit auf den Hostserver einschleusen, auf dem die virtuelle Maschine läuft. Die 64-Bit-Prozessoren von AMD sind weitgehend nicht betroffen.

Das amerikanische Cert hat eine entsprechende Warnung zu CVE-2012-0217 ausgegeben und listet unter anderem die Betriebssysteme Windows 7 und Windows Server 2008 R2 von Microsoft. Außerdem listet das Cert FreeBSD beziehungsweise NetBSD sowie die Linux-basierten Betriebssysteme von Red Hat und Suse auf. Betroffen sind indes ausschließlich 64-Bit-Betriebssysteme. Microsoft weist auf seinen Webseiten darauf hin, dass sich der Angreifer in die virtuelle Maschine einloggen muss. Der Fehler kann weder anonym noch über das Netzwerk ausgenutzt werden.

Xen ist betroffen, VMware nicht

Oracles Software soll ebenfalls betroffen sein, ob das nur für dessen Linux-Variante gilt oder auch für Virtual Box, ist bislang nicht bekannt. Die Virtualisierungssoftware Xen wird vom Cert ebenfalls erwähnt. Mit Xen führt der Angriff auf einigen älteren AMD-CPUs zum Einfrieren des Systems. Nicht betroffen ist hingegen die Software von VMware sowie von Apple.

Der Sicherheitsexperte Rafal Wojtczuk hat den Fehler entdeckt und das Xen-Team informiert. Der Fehler kann über die Funktion Sysret ausgenutzt werden, um Schadcode im Speicher abzulegen, der nach einer Schutzverletzung im Ring0 der CPU ausgeführt wird.


Trollversteher 15. Jun 2012

Das stimmt aber nur im unteren Preissegment, bei den Flagschiffen bekommst Du bei Intel...

SaSi 14. Jun 2012

? Apple ??? was haben die den an Virtualisierungssoftware? aaahhhh XServe... ok, nehme...

Kommentieren



Anzeige

  1. Softwareentwickler ASP.NET (m/w)
    MWG-Biotech AG, Ebersberg (Großraum München)
  2. SPS-Programmierer Steuerungen / Automatisierungslösungen (m/w)
    über CAPERA Consulting, Nordhessen
  3. Akademischer Mitarbeiter (m/w)
    Hochschule Furtwangen, Furtwangen
  4. Senior Project Manager/-in BI Plattform SAP BW
    Daimler AG, Stuttgart

 

Detailsuche


Folgen Sie uns
       


  1. Quartalsbericht

    Facebook macht erneut Rekordgewinn

  2. Quartalszahlen

    Apple kann Gewinn und Umsatz wieder steigern

  3. IBM Power8

    Mit 96 Threads pro Sockel gegen Intels Übermacht

  4. Printoo

    Arduino kannste jetzt knicken

  5. Cloud-Dienste

    Streem verspricht unbegrenzten Speicherplatz

  6. Streaming

    HBO-Serien für US-Kunden von Amazon Prime

  7. Theo de Raadt

    OpenSSL ist nicht reparierbar

  8. Xplore XC6 DMSR

    Blendend hell und hart im Nehmen

  9. Programmiersprache

    Go 1.3 kommt für Solaris, Plan 9 und NaCL

  10. Arin

    IPv4-Adressen in Nordamerika nähern sich dem Ende



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Windows XP ade: Linux ist nicht nur ein Lückenfüller
Windows XP ade
Linux ist nicht nur ein Lückenfüller

Wenn der Support für Windows XP ausläuft, wird es dringend Zeit, nach einer sicheren und vor allem kostenlosen Alternative zu suchen. Linux ist dafür bestens geeignet. Bleibt nur noch die Qual der Wahl.

  1. Freedesktop-Summit Desktops erarbeiten gemeinsam Wayland und KDBus
  2. Open Source Linux 3.15 startet in die Testphase
  3. Linux-Kernel LTO-Patch entfacht Diskussion

First-Person-Walker: Wie viel Gameplay braucht ein Spiel?
First-Person-Walker
Wie viel Gameplay braucht ein Spiel?

Walking-Simulator-Spiele nennen sie die einen, experimentelle Spiele die anderen. Rainer Sigl hat einen neuen Begriff für das junge Genre der atmosphärisch dichten Indie-Games erfunden: First-Person-Walker - Spiele aus der Ich-Perspektive mit wenig Gameplay.

  1. A Maze 2014 Tanzen mit der Perfect Woman
  2. Festival A Maze Ist das noch Indie?
  3. Test Cut The Rope 2 für Android Grün, knuddlig und hungrig nach Geld

Techniktagebuch auf Tumblr: "Das Scheitern ist viel interessanter"
Techniktagebuch auf Tumblr
"Das Scheitern ist viel interessanter"

Im Techniktagebuch schreiben zwei Dutzend Autoren über den Alltag mit Computern, Handys und anderen Geräten. Im Gespräch mit Golem.de erläutert die Initiatorin Kathrin Passig, warum nicht jeder Artikel eine Pointe und nicht jeder Autor ein hohe Technikkompetenz haben muss.


    •  / 
    Zum Artikel