Af Torben B. Sørensen, 03/05/17
Sikkerhedsforsker Jann Horn fra Googles Project Zero har opdaget de tre sårbarheder. De findes udelukkende i x86-baserede systemer. To af dem findes kun i 64-bit systemer, der anvender paravirtualisering (PV).
Angribere kan udnytte sårbarhederne til at bryde ud af den virtuelle maskine og tilgå de øvrige arbejdslager.
Fejlene er rettet med tre sikkerhedsrettelser (patches), en til hver af sårbarhederne.
Af Torben B. Sørensen, 05/04/17
Sårbarheden findes i alle versioner af Xen og dermed også i Qubes, der anvender Xen.
En tidligere fejlrettelse indførte fejlen, der består i mangelfuld kontrol af et input. Den gør, at det er muligt at tilgå dele af arbejdslageret, som ligger uden for det område, den virtuelle maskine har fået tildelt.
Fejlen findes kun ved 64-bit PV-gæster på x86-systemer. HVM-gæster og 32-bit PV-gæster er ikke berørt.
Installer patchen XSA-212. Den fås til xen-unstable, Xen 4.8.x, Xen 4.7.x, Xen 4.6.x, Xen 4.5.x, Xen 4.4.x.
