Pada Konferensi Keamanan Internet ke-8 tahun 2020 (ISC 2020), kerentanan nol hari dalam QEMU/KVM VM escape diumumkan. Kerentanan ini dapat dieksploitasi untuk membaca dan menulis data tidak sah hingga 0xffffffff (yaitu sebesar 4 GB) dari heap, memungkinkan terjadinya VM escape sepenuhnya. Alibaba Cloud telah memperbaiki kerentanan ini.
Kerentanan yang Terdeteksi
Kerentanan nol hari dalam QEMU/KVM VM escape pertama kali diungkapkan dalam Kontes Keamanan Siber Internasional Piala Tianfu 2019 pada 17 November 2019. Pada ISC 2020 yang diadakan pada 13 Agustus, kerentanan tersebut diumumkan. Kerentanan ini dapat dieksploitasi untuk membaca dan menulis data tidak sah hingga 0xffffffff (yaitu sebesar 4 GB) dari heap, memungkinkan terjadinya VM escape sepenuhnya. Kode kemudian dapat dieksekusi di host, mengakibatkan kebocoran informasi serius. Hingga saat ini, QEMU belum menyediakan patch resmi untuk kerentanan ini.
Solusi
Alibaba Cloud telah memperbaiki kerentanan ini sejak Desember 2019. Anda tidak perlu melakukan tindakan apa pun untuk memperbaiki kerentanan ini.
Pihak yang Mengumumkan
Alibaba Cloud Computing Co., Ltd.