ISC2020第八屆互聯(lián)網(wǎng)安全大會(huì)上，QEMU-KVM虛擬機(jī)的0day漏洞（虛擬機(jī)逃逸）被公開。該漏洞可越界讀寫某一個(gè)堆之后0xffffffff（4 GB內(nèi)存）的內(nèi)容，可實(shí)現(xiàn)完整的虛擬機(jī)逃逸。阿里云已對(duì)該漏洞進(jìn)行了修復(fù)。

漏洞信息

2019年11月17日天府杯國際網(wǎng)絡(luò)安全大賽，第一次暴露出QEMU-KVM虛擬機(jī)的0day安全漏洞。2020年08月13日，ISC2020第八屆互聯(lián)網(wǎng)安全大會(huì)上，該漏洞被公開。該漏洞可越界讀寫某一個(gè)堆之后0xffffffff（4 GB內(nèi)存）的內(nèi)容，可實(shí)現(xiàn)完整的虛擬機(jī)逃逸，最終在宿主機(jī)中執(zhí)行任意代碼，造成較為嚴(yán)重的信息泄露。截止目前QEMU官方并未提供任何修復(fù)補(bǔ)丁。

解決方法

阿里云已于2019年12月完成該漏洞的修復(fù)，您無需做修復(fù)操作。

公告方

阿里云計(jì)算有限公司