Уязвимость в IDE-подсистеме QEMU позволяет скомпрометировать Xen, KVM и VirtualBox

Уязвимость в IDE-подсистеме QEMU позволяет скомпрометировать VirtualBox

В развиваемом проектом QEMU коде эмуляции подсистемы IDE выявлена критическая уязвимость (CVE-2015-5154), позволяющая инициировать выполнение кода вне гостевого окружения через передачу специально оформленных команд ATAPI.

Уязвимость проявляется в системах x86/x86_64, работающих в режиме виртуализации с полной эмуляцией оборудования, таких как HVM-окружения Xen, VirtualBox и QEMU/KVM, при включении доступа к виртуальному CD-ROM из гостевой системы. В системах с паравиртуализацией и на архитектуре ARM уязвимость не проявляется.

В случае успешной атаки злоумышленник, имеющий права root в гостевой системе, может выполнить произвольный код на стороне хост-системы с правами драйверов QEMU (обычно root, а при запуске в режиме stubdomain (qemu-dm) под отдельным непривилегированным пользователем). Проблема вызвана переполнением кучи в коде обработки доступа к буферу ввода/вывода в подсистеме IDE и проявляется при обработке некоторых команд ATAPI, пишет opennet.ru.

Для оперативного устранения проблемы в QEMU подготовлен патч. Обновления пакетов с устранением уязвимости уже выпущены для RHEL, CentOS,SLES и openSUSE. Оценить появление обновлений в других дистрибутивах можно на следующих страницах: Ubuntu, Debian, Fedora, Slackware, Gentoo,FreeBSD, NetBSD. В качестве обходного пути защиты в RHEL/CentOS предлагается использовать sVirt и seccomp для ограничения привилегий процесса QEMU и ограничение доступа к ресурсам. В Ubuntu в конфигурации по умолчанию при использовании QEMU с libvirt применяется дополнительная изоляция при помощи AppArmor.

Дополнительно сообщается об исправлении в RHEL ещё одной связанной с драйверами QEMU уязвимости (CVE-2015-3214), позволяющей привилегированному пользователю гостевой системы при редком стечении обстоятельств инициировать выполнение кода в окружении хост-системы. Проблема проявляется в системах с активированным PIT-режимом эмуляции QEMU и вызвана утечкой информации через функцию pit_ioport_read() 

Карты с бензином под подозрением: Минэнерго заявило о риске сбора данных

Минэнерго России призвало автомобилистов осторожнее относиться к сайтам и сервисам, которые показывают наличие топлива на заправках. В ведомстве считают, что такие площадки могут быть опасны из-за возможного незаконного сбора персональных данных.

По данным министерства, с конца июня 2026 года резко выросла активность интернет-ресурсов, где пользователям предлагают смотреть, на каких АЗС есть бензин или другое топливо. Информация на таких сервисах якобы добавляется самими автомобилистами.

Но в Минэнерго настроены скептически. Ведомство заявило, что анализ опубликованных данных указывает на их недостоверность. Кроме того, специалисты заметили манипуляции сведениями о наличии топлива на заправках.

Проще говоря, если сервис показывает, что где-то точно есть бензин, это еще не значит, что он там действительно есть. Зато риск оставить свои данные на сомнительной площадке вполне реальный.

Предупреждение появилось на фоне сообщений СМИ о быстром росте популярности подобных проектов. Один из них — сервис «ГдеБенз» — якобы собрал около 2 млн посетителей всего за три дня.

При этом сам сервис утверждает, что не требует регистрации, не просит скачивать приложения и не собирает пользовательские данные.

Тем не менее Минэнерго советует не доверять таким ресурсам безоговорочно. Ведомство указывает, что информация о наличии топлива может быть неточной, а сами площадки — использовать интерес автомобилистов для сбора данных или распространения недостоверных сведений.

На днях мы также сообщали о новом зловреде для Android, который маскируется под видом сервиса поиска топлива.

RSS: Новости на портале Anti-Malware.ru