Abo
  • IT-Karriere:

Kritische Sicherheitslücke: Angreifer können aus virtuellen Maschinen ausbrechen

Über eine Sicherheitslücke können Angreifer Code aus einer virtuellen Maschine auf den Hostrechner einschleusen. Betroffen sind unter anderem Xen und zahlreiche 64-Bit-Betriebssysteme, die auf Intel-CPUs laufen.

Artikel veröffentlicht am ,
Angreifer können sich über virtuelle Maschinen Zugriff auf das Hostsystem verschaffen.
Angreifer können sich über virtuelle Maschinen Zugriff auf das Hostsystem verschaffen. (Bild: Robyn Beck/AFP/Getty Images)

Über einen Fehler kann ein Angreifer in einer virtuellen Maschine Code im Ring 0 von Intel-CPUs ausführen und ihn damit auf den Hostserver einschleusen, auf dem die virtuelle Maschine läuft. Die 64-Bit-Prozessoren von AMD sind weitgehend nicht betroffen.

Stellenmarkt
  1. EnBW Energie Baden-Württemberg AG, Karlsruhe
  2. DI Deutsche Immobilien Gruppe (DI-Gruppe), Düren

Das amerikanische Cert hat eine entsprechende Warnung zu CVE-2012-0217 ausgegeben und listet unter anderem die Betriebssysteme Windows 7 und Windows Server 2008 R2 von Microsoft. Außerdem listet das Cert FreeBSD beziehungsweise NetBSD sowie die Linux-basierten Betriebssysteme von Red Hat und Suse auf. Betroffen sind indes ausschließlich 64-Bit-Betriebssysteme. Microsoft weist auf seinen Webseiten darauf hin, dass sich der Angreifer in die virtuelle Maschine einloggen muss. Der Fehler kann weder anonym noch über das Netzwerk ausgenutzt werden.

Xen ist betroffen, VMware nicht

Oracles Software soll ebenfalls betroffen sein, ob das nur für dessen Linux-Variante gilt oder auch für Virtual Box, ist bislang nicht bekannt. Die Virtualisierungssoftware Xen wird vom Cert ebenfalls erwähnt. Mit Xen führt der Angriff auf einigen älteren AMD-CPUs zum Einfrieren des Systems. Nicht betroffen ist hingegen die Software von VMware sowie von Apple.

Der Sicherheitsexperte Rafal Wojtczuk hat den Fehler entdeckt und das Xen-Team informiert. Der Fehler kann über die Funktion Sysret ausgenutzt werden, um Schadcode im Speicher abzulegen, der nach einer Schutzverletzung im Ring0 der CPU ausgeführt wird.



Anzeige
Hardware-Angebote
  1. 49,70€

Trollversteher 15. Jun 2012

Das stimmt aber nur im unteren Preissegment, bei den Flagschiffen bekommst Du bei Intel...

SaSi 14. Jun 2012

? Apple ??? was haben die den an Virtualisierungssoftware? aaahhhh XServe... ok, nehme...


Folgen Sie uns
       


Control - Fazit

Ballern in einer mysteriösen Behörde, seltsame Vorgänge und übernatürliche Kräfte: Das Actionspiel Control von Remedy Entertainment bietet spannende Unterhaltung.

Control - Fazit Video aufrufen
Garmin Fenix 6 im Test: Laufzeitmonster mit Sonne im Herzen
Garmin Fenix 6 im Test
Laufzeitmonster mit Sonne im Herzen

Bis zu 24 Tage Akkulaufzeit, im Spezialmodus sogar bis zu 120 Tage: Garmin setzt bei seiner Sport- und Smartwatchserie Fenix 6 konsequent auf Akku-Ausdauer. Beim Ausprobieren haben uns neben einem System zur Stromgewinnung auch neue Energiesparoptionen interessiert.
Ein Test von Peter Steinlechner

  1. Fenix 6 Garmins Premium-Wearable hat ein Pairing-Problem
  2. Wearable Garmin Fenix 6 bekommt Solarstrom

Manipulierte Zustimmung: Datenschützer halten die meisten Cookie-Banner für illegal
Manipulierte Zustimmung
Datenschützer halten die meisten Cookie-Banner für illegal

Nur die wenigsten Cookie-Banner entsprechen den Vorschriften der DSGVO, wie eine Studie feststellt. Die Datenschutzbehörden halten sich mit Sanktionen aber noch zurück.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Chrome & Privacy Google möchte uns in Zukunft anders tracken
  2. Tracking Google und Facebook tracken auch auf vielen Pornoseiten
  3. Android Apps kommen auch ohne Berechtigung an Trackingdaten

Galaxy Fold im Hands on: Samsung hat sein faltbares Smartphone gerettet
Galaxy Fold im Hands on
Samsung hat sein faltbares Smartphone gerettet

Ifa 2019 Samsungs Überarbeitungen beim Galaxy Fold haben sich gelohnt: Das Gelenk wirkt stabil und dicht, die Schutzfolie ist gut in den Rahmen eingearbeitet. Im ersten Test von Golem.de haben wir trotz aller guten Eindrücke Bedenken hinsichtlich der Kratzempfindlichkeit des Displays.
Ein Hands on von Tobias Költzsch

  1. Orbi AX6000 Netgears Wi-Fi-6-Mesh-System ist teuer
  2. Motorola Tech 3 Bluetooth-Hörstöpsel sind auch mit Kabel nutzbar
  3. Wegen US-Sanktionen Huawei bringt Mate 30 ohne Play Store und Google Maps

    •  /