Af Torben B. Sørensen, 03/05/17
Sikkerhedsforsker Jann Horn fra Googles Project Zero har opdaget de tre sårbarheder. De findes udelukkende i x86-baserede systemer. To af dem findes kun i 64-bit systemer, der anvender paravirtualisering (PV).
Angribere kan udnytte sårbarhederne til at bryde ud af den virtuelle maskine og tilgå de øvrige arbejdslager.
Fejlene er rettet med tre sikkerhedsrettelser (patches), en til hver af sårbarhederne.
Qubes OS, der anvender Xen til virtualisering, er i gang med at indføre de rettede versioner. Udviklerne oplyser, at i de sidste otte år har der været i alt fire sårbarheder lige så alvorlige som en af de nyopdagede. De har alle ligget i hukommelseshåndteringen ved paravirtualisering.
Da den forrige fejl blev opdaget, gik Qubes-holdet i gang med at gå væk fra paravirtualisering.
Anbefaling
Installer sikkerhedsopdateringerne til Xen og Qubes OS.