虚拟usb设备_QEMUKVM虚拟机逃逸漏洞(CVE202014364)
2020年8月24日,qemu更新了安全补丁,并通告了一个虚拟机逃逸漏洞(CVE-2020-14364),通过数组越界读写,实现虚拟机逃逸,且能以qemu进程所属用户的身份执行任意代码。
深信服安全研究团队依据漏洞重要性和影响力进行评估,作出漏洞通告。
漏洞名称:QEMU-KVM虚拟机逃逸漏洞(CVE-2020-14364)
威胁等级:高危
影响范围:QEMU全部版本
漏洞类型:虚拟机逃逸
利用难度:困难
漏洞分析
1 QEMU介绍
QEMU是一个通用,开源的虚拟机和用户空间仿真器。能以软件模拟完整的计算机,而无需任何硬件虚拟化支持。其通过动态翻译显著提高性能。QEMU还可以与Xen和KVM虚拟机管理程序集成,以提供仿真硬件,同时允许虚拟机管理程序管理CPU。QEMU还能够为Linux和BSD内核接口提供用户空间API虚拟化。
2 漏洞分析
漏洞位于/hw/usb/core.c文件,该文件用于实现qemu对usb连接的处理。各种usb设备与qemu连接时,都由usb_process_one函数处理。
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!