Исследователи из компании CloudStrike объявили об обнаружении уязвимости в популярных платформах виртуальных машин, включая гипервизоры Xen, KVM, Oracle VM Virtual Box и QEMU. Бреши дали название VENOM, она найдена в очень старом коде, отвечающем за работу с контроллером флоппи-дисковода. По мнению исследователей, уязвимость может присутствовать в миллионах виртуальных машин — перечисленные гипервизоры широко используются в облачных сервисах и программно-аппаратных комплексах.
Если отправить на виртуальный флоппи-дисковод специально подготовленные команды, происходит переполнение буфера, позволяющее получить административный доступ к хост-системе. При этом даже когда виртуальный флоппи-дисковод отключен, к соответствующему коду все же можно обратиться с использованием другой, не связанной с первой, ошибки, указывают исследователи. CrowdStrike уведомила разработчиков гипервизоров в апреле, и сейчас для обеих ошибок готовы заплаты. Концептуальный эксплойт исследователи публиковать не стали.
Сам уязвимый код поддержки флоппи-дисководов не обновлялся с 2004 года. Его все еще включают в состав виртуальных машин для сохранения совместимости с унаследованным ПО, которому может быть нужен флоппи-диск для корректной работы.